大約有6,000個應用程式仍然受 Heartbleed漏洞到影響,我們看到有很大一部分生活類的應用程式受到 Heartbleed漏洞 影響,這些應用程式包括了點餐、雜貨、設備、看書、優惠券、服裝、家具等等。也就是說,如果使用者透過其中一個受影響應用程式來點餐或買東西,跟訂單相關的資訊,像是使用者憑證和家裡地址,或更糟的是信用卡資料,都有可能被外洩。
內建的OpenSSL程式庫讓應用程式和Android 4.1.1也會受到Heartbleed影響
趨勢科技在之前的文章裡提到,行動應用程式也會受到Heartbleed漏洞的影響。這是因為行動應用程式可能會連上受漏洞影響的伺服器。不過看起來行動應用程式本身可能也會因為內建的OpenSSL程式庫而受此漏洞影響。
OpenSSL程式庫出現在Android 4.1.1和某些行動應用程式
們所擁有的資料顯示,雖然OpenSSL整合在Android系統內,但只有Android 4.1.1會受到Heartbleed漏洞影響。在此版本的設備上,任何會使用OpenSSL來建立SSL/TLS連線的應用程式都可能會受到影響,可能會被惡意份子用來從設備記憶體內擷取使用者資料。
然而,即使設備不是使用受影響的版本,也有可能因為應用程式本身而造成問題。我們在Google Play上發現了273個內建受影響版本的獨立OpenSSL程式庫,意味著這些應用程式可以在任何設備上受到危害。
在這份名單中,我們看到了去年最受歡迎的遊戲、一些VPN客戶端、一個安全應用程式、一個流行的影片播放程式、一個即時通應用程式、一個VOIP電話應用程式和其他許多軟體。正如你可能已經知道,OpenSSL程式庫被應用程式用來做為安全通訊之用。許多應用程式都來自知名的開發者。我們還發現此漏洞存在於舊版本的Google應用程式。
圖一、容易受到Heartbleed影響的包括那些極受歡迎的應用程式
這些應用程式會用靜態連結到有漏洞的OpenSSL程式庫,如下圖所示:
圖二、有漏洞的OpenSSL程式庫
如果應用程式所連上的遠端伺服器被入侵,那麼反向客戶端Heartbleed攻擊是有可能的。反向Heartbleed攻擊就會讓設備記憶體內容洩漏給攻擊者。該記憶體內容可能包含這些應用程式儲存在本地端的任何敏感資料。如果你使用有漏洞的VPN客戶端或VOIP網路電話應用程式來連上一個惡意服務,你可能會失去你的私鑰或其他憑證資料,那麼駭客就可以開始用來偽造你的身份和做其他不好的事情。 繼續閱讀