一個新的HTTPS漏洞(已經有了專屬網站、亮眼圖示以及響亮好記的暱稱)已經被發現,被描述為可能跟Heartbleed心淌血漏洞一樣嚴重的漏洞。它被稱為DROWN,跟它在2014年出現的前輩一樣,它會影響今日使用HTTPS的大部分網域(根據其網站的FAQ約33%)。不僅僅是網站,郵件服務器和TLS相關服務也都會受到影響。
DROWN是什麼?
它是會影響HTTPS及其他依賴SSL/TLS服務的漏洞。這些協定主要用加密技術來確保服務所需要的個人資料(如登錄憑證/信用卡號碼),像是網路購物、銀行網站還有即時通。
經由利用DROWN,攻擊者能夠破解這些協定,截獲並竊取被保護的個人資料。也可以用它來攻陷合法網站,好變更功能或插入惡意程式碼。
誰會受到影響?
很顯然地,任何允許TLS和SSLv2連線的伺服器或客戶端都會。網站 drownattack.com提供線上檢查服務來檢視某個網域或IP是否有DROWN漏洞。
DROWN網站聲稱在漏洞披露(3月1日)時,在所有HTTPS伺服器/網站中有33%具有此弱點。它接著說,以此來說,瀏覽器們所信任的網站中有22%具備此漏洞,包含了前一百萬名網域的25%。
只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了 ?
錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。
Heartbleed漏洞,這是個因為被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞。該漏洞在過去幾天內佔領了所有新聞的頭條,這是理所當然的,因為其對消費者和企業的資訊安全都帶來巨大的風險。
因為它主要的涵蓋範圍可能會讓你認為,只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了。錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。它的的確確是到目前為止影響最廣的立即風險,這是因為可能受到此漏洞影響的人數,因為受影響網頁伺服器所會暴露的敏感資料(可能包括了密碼和session cookie)。即便是第一波的修補完成,剩餘的風險還是相當巨大。
OpenSSL並不只限於網頁伺服器在用,電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。它也可以在世界各地的大量網路和安全產品內找到,所以要解決的路還很長。許多廠商已經開始調查其產品和服務是否存在會受此漏洞影響的OpenSSL版本,而確認受到影響的產品列表還在持續成長中。這注定會是開放給針對性攻擊的季節。 繼續閱讀
趨勢科技掃描了大約390,000個來自Google Play的應用程式,發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式,39個和線上支付有關,10個和網路購物有關。
前不久,OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞,此漏洞被戲稱為 Heartbleed (心在淌血) 臭蟲,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料 (每次最多 64KB),而且完全不留任何痕跡。
Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的,一個由Github所進行的測試顯示,在前10,000名網站(根據Alexa排名)中,有600個受此弱點影響。在掃描的時候,受影響的網站包括了雅虎 、Flickr、OKCupid、Rolling Stone和Ars Technica。
延伸此一安全漏洞的涵蓋率帶出另一個問題,「行動設備也會受到影響嗎?」簡單的說:是的。
行動應用程式,不管我們喜不喜歡,也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到,有相當大數量的網域受到此漏洞影響。
假如你只是要進行應用程式內購買的動作,所以你需要輸入信用卡資訊。你做完之後,行動應用程式就會為你完成交易。當你拿到了你要的遊戲,你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上,並可能在那待上一段長度不等的時間。因此,網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料(如信用卡號碼)。就是這麼地簡單。
那如果應用程式不提供應用程式內購買呢?他們就安全於此漏洞嗎?也不是,只要它會連到網路伺服器,就還是會被此弱點影響,即便你的信用卡不會被影響到。例如,你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。
假設你決定這樣做,並且按下「確定」。你的應用程式有可能會自己去打開網頁,透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響,但可能性是存在的,因此也就會有風險。 繼續閱讀