近日美國知名安全公司火眼(FireEye)發(fā)布了安全報告�����,該報告揭示了一個令人不安的事實:雖然官方發(fā)布了補(bǔ)丁�����,但大量的安卓和iOS移動應(yīng)用仍存RREAK漏洞��。
FREAK漏洞
今年3月初�����,安全專家發(fā)現(xiàn)了一個編號為FREAK(CVE-2015-0204)(點我查看FreeBuf漏洞分析)的嚴(yán)重漏洞��。當(dāng)網(wǎng)民訪問安全網(wǎng)站時�����,攻擊者可以利用該漏洞破解加密流量��,并發(fā)起中間人攻擊�。
通過利用FREAK漏洞��,攻擊者可以迫使客戶端使用包含漏洞的低版本加密方式����,然后可以在數(shù)小時內(nèi)破解上網(wǎng)流量����,即使這些流量以512位的密鑰加密保護(hù)也無濟(jì)于事�����。一旦解密了這些流量�,攻擊者就可以偷取敏感信息���,或者通過注入惡意代碼發(fā)起攻擊���。
近11.2%的應(yīng)用存在風(fēng)險
近日,安全公司火眼(FireEye)發(fā)布了一份報告����,該報告揭示了一個令人不安的事實:
盡管廠商已經(jīng)發(fā)布了針對安卓和iOS的FREAK漏洞補(bǔ)丁,但是當(dāng)連接到接受RSA_EXPORT密碼套件的服務(wù)器時���,很多應(yīng)用仍然處于FREAK漏洞的攻擊風(fēng)險之中���。此外,除了最近蘋果為它的移動設(shè)備發(fā)布的iOS8.2版本系統(tǒng)之外��,許多iOS應(yīng)用仍舊易于遭受FREAK攻擊。
火眼公司掃描了谷歌應(yīng)用商店中10985個安卓應(yīng)用���,發(fā)現(xiàn)將近11.2%的應(yīng)用存在FREAK漏洞��,因為這些應(yīng)用中仍然在使用包含漏洞的OpenSSL庫�。
而受影響的這1228個應(yīng)用已經(jīng)被下載超過63億次�。在這1228個安卓應(yīng)用中,有664個使用了安卓內(nèi)置的OpenSSL庫��,564個使用了自己編譯的OpenSSL庫���,而所有這些OpenSSL版本都易遭受FREAK攻擊���。對蘋果設(shè)備來說,情況稍微好一些����,在掃描的14000個iOS應(yīng)用中,只有771個容易受到攻擊�����。
研究人員在報告中說:
“在低于iOS8.2的版本上,這些應(yīng)用容易遭受FREAK攻擊����。771個應(yīng)用中有7個使用的是自己編譯的OpenSSL庫,它們在iOS8.2系統(tǒng)上仍然受FREAK漏洞影響������!
研究人員將這些抽查的應(yīng)用分成了幾個類別(照片和視頻����、生活方式、社交網(wǎng)絡(luò)���、衛(wèi)生健康��、金融��、通信�、購物�、商業(yè)和醫(yī)療應(yīng)用),下圖中顯示了每種類別中仍舊受此漏洞影響的應(yīng)用數(shù)量���。
小編推薦閱讀
