安全漏洞“心脏出血”继续 原因是“丘比特”

虽然距离OpenSSL爆出 心脏出血漏洞（heartbleed）已过去了有一段时间，但这个漏洞的影响却远没有结束。葡萄牙的安全研究人员发布的一份报告显示，同样的漏洞可以在WiFi传输过程中重演，攻击者可以借此对安卓设备进行攻击。

这种新型的攻击被称为“丘比特”，攻击方式与网页漏洞有所不同。当人们通过企业路由器或者恶意路由器连接安卓设备时，攻击者利用这个可以漏洞获取设备工作内存里的信息片段，从而窃取用户的信息。在这个过程中，用户证书、设备证书和密钥都会一览无遗。鉴于漏洞的严重性，研究人员已经发布了一个补丁，他们希望用户，特别是管理员能够尽早进行更新。

研究人员表示，目前尚不清楚有多少设备会遭受攻击，但是这个漏洞造成的破坏性可能不会比上次心脏出血漏洞大。其中，最可能遭受攻击的是无线LAN中常见的基于EPA的路由器，使用过程中通常需要单独用户名和密码进行登陆。在测试后他们发现，不管是路由器还是认证服务器，攻击者都可以利用心脏出血漏洞窃取用户密钥。虽然不知道有多少路由器会因配置问题会被攻击，但由于这种攻击只限于WiFi范围内，所以被攻击的目标也很明确，因此该漏洞造成的影响应该不会有之前那次那么广泛。

值得注意的是，许多安卓设备仍在使用4.1.1版的系统，而该版本最容易受到此漏洞的影响。在进行路由器攻击时，攻击者会提供一个公共的WiFi信号，然后利用心脏出血漏洞从连上该信号的设备里窃取信息。这种新型的攻击方式让很多安卓设备暴露于危险之中。据统计，到上个月底，仍有数百万的安卓设备在使用4.1.1版，这些没有进行更新的设备可能会遭受到攻击。这则消息更是一种警示，告诉我们心脏出血漏洞仍然在影响着大量设备。尽管大型服务器打了补丁，但是攻击者更可能暗地里对用户设备发起攻击。研究人员表示，由于OpenSSL和TLS这些服务的广泛使用，有一大批的设备会成为被攻击的潜在目标。  “虽然网页和邮件是TLS的最大使用者，但并不意味着只有他们使用这些服务。” 凡是没有打补丁的设备，都可能会被窃取信息。

迄今为止，心脏出血漏洞造成的破坏中，大概只有半数被清理干净，“丘比特”恐怕也只是冰山一角。在未来的数年内，我们可能仍会不断见到这类攻击。

Via： theverge

相关

Heartbleed代码作者发声：这是一次严重的意外

文章内容来自网络投稿，雷锋网登载此文为出于传递更多信息目的，作者观点不代表雷锋网
责任编辑： 张 驰

您可能也喜欢：
基于地理位置的折扣应用Shopkick下载量突破180万	如果你是啪啪的设计者，下一步会做什么？	制作一个显微镜镜头要多少钱？也许只要1美分	人工智能的结晶：Fleksy高级智能纠错输入法	Circuit Scribe：电路可以画出来
无觅