互联网安全漏洞严重OpenSSL的“心脏出血”威胁仍在发酵。金山毒霸安全中心发现,不仅网民访问https个人隐私会在攻击网站时泄露,包括OpenSSL一些计算机软件,包括代码库,甚至安卓应用程序和浏览器,都可能面临隐私窃取的风险。
金山毒霸安全专家指出,黑客公开了个人电脑、手机和平板电脑的攻击代码,可能已经在黑客圈广泛传播。黑客使用OpenSSL“心脏出血”特殊网页的漏洞构建引诱网民点击访问。
使用用户电脑或移动电子设备时,使用用户电脑或移动电子设备OpenSSL黑客访问上述攻击网页时,通过服务器向客户发送恶意软件“心跳包”(定期发送的通信包)利用漏洞多次远程读取用户系统内存数据,窃取数字证书、账号、密码、互联网记录等重要信息。
OpenSSL Heartbleed(“心脏出血”)漏洞被业界称为2014年最重要的安全漏洞之一。它最近被称为Codenomicon和谷歌工程师发现,漏洞编号为CVE-2014-0160。
因为OpenSSL该协议广泛应用于网上银行、网上支付、电子邮件、电子商务等重要网站。https黑客只要坐在电脑前,就能实时获得约30%的用户登录账号密码。
据最新消息,这个漏洞不仅影响了大量的网站服务器,思科和Juniper这个漏洞也存在于网络设备中。思科列出了10多种已被确认易受攻击的产品,其他60种可能受到影响,但调查仍在进行中。
除了网络设备,一些手机系统也存在“心脏出血”漏洞。谷歌最近宣布,Android手机用户也受到这个漏洞的威胁。据说谷歌Android 4 . 1 . 1版本使用漏洞版本OpenSSL在协议库中,用户也面临隐私被盗的风险。
据安全圈人士透露,因为OpenSSL漏洞的出现,在最近的地下交易市场上,各种销售非法数据的交易异常火爆。
目前,国内外许多网站和网络服务提供商都在积极应对这一重大安全事件。根据金山毒霸安全中心的分析,到目前为止,支付宝、淘宝等大型银行网站包括中国工商银行、中国建设银行、中国农业银行、交通银行、招商银行JD.COM、卓悦等电子商务和支付网站、新浪、腾讯、网络等门户网站,国内网民经常使用的知名网站服务已经修复了这一漏洞。但仍有一些国内网站尚未修复,仍存在风险。
金山毒霸安全中心正在开发可靠的防御方案,相应的技术方案正在紧张测试中,即将上线。安全专家建议,最近QQ聊天、处理电子邮件、上网时不要点击https最初的不可信链接,以避免因攻击而泄露重要的个人信息。此外,网民还需要更改密码设置。建议不同的网络服务设置不同的账户密码,以防止网站账户泄露,导致更大范围的隐私泄露。