網路安全漏洞「Heartbleed」衝擊 Google Android作業系統的智慧型手機和平板電腦,數百萬台裝置出現安全危機。Google 4 月 9 日表示,2012 年發佈的 4.1.1 版作業系統可能會受 Heartbleed 影響,但是其他 Android 版本安全無虞。
彭博社 4 月 12 日報導,網路安全專家表示,4.1.1 版系統仍用於數百萬台智慧型手機和平板,包括三星電子(Samsung Electronics)和宏達電(HTC)等大廠的暢銷機種。Google 估計,34% 的Android裝置使用 4.1 系列版本,有不到 10% 容易遭受攻擊。
Google 針對 Heartbleed 漏洞,提供了修補辦法,但是更新程序需要手機製造商和電信商進行,整個過程相當曠日費時。Lookout 首席安全研究員 Marc Rogers 指出,駭入 Android 裝置過程複雜、成功率不高,目前沒有跡象顯示,駭客用 Heartbleed 漏洞攻擊個別智慧型手機;他說伺服器涵蓋更多用戶,下手容易,駭客應該會先攻擊伺服器。
美聯社 4 月 11 日報導,網路設備業大廠思科(Cisco Systems)和瞻博網路(Juniper Networks)都表示,主力產品不受影響,但少數商品可能有安全缺失。專家警告,未來其他網路公司可能也會陸續爆出問題。
CNET 和華爾街日報報導,Google 和網路安全公司 Codenomicon 4 月 7 日宣布,網路通訊加密軟體 OpenSSL 爆出「Heartbleed」安全漏洞,已存在兩年之久,可能影響全球 ⅔ 網站。OpenSSL 是各大網站廣泛使用的免費網路通訊加密軟體,部份版本存在 Heartbleed 漏洞,會讓伺服器記憶體內容曝光,駭客可偷取用戶的機密資料,如帳號密碼、信用卡號等,並可取得伺服器的數位秘鑰,偽裝成伺服器,解密用戶過往的通訊內容。
(精實新聞 陳苓 報導)
延伸閱讀: