高風險App恐洩漏用戶個資 以「生活品味」與「娛樂」類為大宗
【台北訊】繼上週揭露了會廣泛影響行動 App程式的 Heartbleed漏洞 、以及其可能造成的廣泛危害之後,趨勢科技今(17)日再度公布,目前全球已有高達6000 多種行動App受到波及,其中「生活品味」與「娛樂」App各佔13%,成為受害最嚴重的類別!此外,Android 4.1.1 版作業系統也會受到影響。趨勢科技表示,Heartbleed漏洞的危害遍及各類型的App,用戶應立即安裝可偵測Heartbleed漏洞的手機資安軟體,如趨勢科技「安全達人」免費行動防護App等,並立即檢查已下載的App是否安全,才能避免個資或交易資訊被竊取。
趨勢科技資深技術顧問簡勝財表示:「 OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞稱為Heartbleed漏洞) ,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料,而且完全不留任何痕跡。」Heartbleed漏洞對用戶造成的影響如下圖:
圖一、Heartbleed漏洞對用戶造成的影響
簡勝財進一步指出:「趨勢科技於上週揭露了Heartbleed漏洞後,一直持續監控中,我們發現目前有超過6000 多種 App 程式受到影響,而且遍及各種類型,尤其以『生活品味』和「娛樂」此兩種與消費者日常生活高度連結的App各佔13%為最大宗,為受波及的App類別中第一名!」
以下是前十名受波及的行動應用程式App類別:
圖二:前十名受波及的行動應用程式 App類別
趨勢科技也發現,Android 4.1.1 版本的作業系統,也內含了有Heartbleed漏洞的 OpenSSL 程式庫。在這個作業系統的裝置上,任何使用 TLS 連線的 App 程式,不論伺服器或用戶端都可能受到影響,當遭到攻擊時,其裝置記憶體的內容就可能遭人讀取。因此,趨勢科技呼籲Android 4.1.1 版的用戶,應立即更新至其他版本。
簡勝財呼籲行動用戶,應立即安裝可偵測Heartbleed漏洞的行動防護軟體,並立即用資安軟體檢查已下載的其他App是否安全,才能避免個資或交易資訊被竊取。行動用戶可下載趨勢科技「安全達人」免費行動防護App等,並立即按下「Heartbleed安檢」,執行以下檢查:
- 檢查用戶是否安裝了潛藏「心淌血」問題的行動應用程式App
- 檢查已安裝的行動應用程式App,是否會連結到有潛在風險的網頁伺服器(採用趨勢科技獨家「行動裝置應用程式信譽評等技術 」(Mobile App Reputation Service, MARS)
圖三、趨勢科技「安全達人」可替用戶執行「Heartbleed安檢」
若偵測到會連線到Heartbleed漏洞網站的App,趨勢科技「安全達人」免費行動防護App會跳出警告視窗,提醒用戶暫時不要執行該程式。
圖四、趨勢科技「安全達人」偵測到有Heartbleed風險App的警告視窗
行動用戶可上Google Play搜尋趨勢科技「安全達人」免費行動防護App,即可下載此免費App,立即保護自己行動裝置資訊安全,從此不再「心淌血」!
對於Chrome使用者,我們也發表了趨勢科技OpenSSL Heartbleed Scanner應用程式。這個掃描程式讓使用者可以檢查特定網站是否會受到Heartbleed漏洞影響。該工具可以從Chrome 線上應用程式商店下載。