FREAK漏洞影响2千个受欢迎的iOS与Android程式

2015-03-22 14:42:01来源: ithome 关键字:FREAK漏洞  iOS  Android
    FireEye调查了Google Play上下载次数超过100万次的10985个程式,发现有1228个(11.2%)因为使用有漏洞的OpenSSL函式库连结有漏洞的HTTPS伺服器而可能导致FREAK攻击;检验了14079个iOS程式,当中有771个(5.5%)含有FREAK漏洞



图左:有FREAK漏洞的Apps;图右:Android平台上有FREAK漏洞的Apps下载数量。


资安业者FireEye旗下的威胁研究团队调查发现,先前被揭露的FREAK(Factoring RSA Export Keys)出口金钥漏洞对手机App的安全威胁不容小觑,该公司侦测Android与iOS平台上受欢迎的行动程式发现,Google Play上有1228个程式受到波及,苹果App Store也有771个程式含有该漏洞,单单Android总计就相当于63亿次的下载量。

FREAK漏洞存在于多个OpenSSL开放源码安全协定版本中,允许骇客干预客户端与伺服器端的HTTPS通讯,强迫使用弱金钥,进一步窃取双方所传递的机密资料。弱金钥起因为美国早期所实施的出口金钥管制。

除了Android平台与iOS平台都受到FREAK漏洞的影响外,Android与iOS程式也可能因为使用含有该漏洞的OpenSSL函式库(library)而遭到波及。就算业者修补行动平台,但若这类程式连结了接受出口金钥套件的伺服器,仍然无法幸免于难。

FireEye调查了Google Play上下载次数超过100万次的10985个程式,发现有1228个(11.2%)因为使用有漏洞的OpenSSL函式库连结有漏洞的HTTPS伺服器而可能导致FREAK攻击,其中的664个使用Android平台所提供的OpenSSL函式库,564个使用自己编译的OpenSSL函式库。而这1228个程式的总下载数量则超过63亿次。

在iOS程式部份,FireEye检验了14079个iOS程式,当中有771个(5.5%)含有FREAK漏洞,由于苹果已修补iOS 8.2,因此绝大多数程式只有在iOS 8.2平台版本以下运作时才有遭到FREAK攻击的风险,其中的7个因使用自己的OpenSSL函式库而可能受骇。

FireEye分析,骇客可能会利用中间人(man-in-the-middle ,MITM)攻击技术来干预行动程式与伺服器之间的流量,可先纪录弱加密的网路流量,之后再将其破解以存取机密资料,例如可针对购物程式执行FREAK攻击,用以窃取使用者的登入凭证及信用卡资讯。FireEye呼吁行动程式开发商及网站管理人员都应尽快修补相关漏洞。(编 译/陈晓莉)

关键字:FREAK漏洞  iOS  Android

编辑:北极风 引用地址:http://www.eeworld.com.cn/xfdz/2015/0322/article_40853.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:Android 5.1升级做对了这五件事
下一篇:微软再谈Office 365免费版:10.1寸屏幕以上算专业使用

论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
FREAK漏洞
iOS
Android

小广播

独家专题更多

东芝在线展会——芯科技智社会创未来
东芝在线展会——芯科技智社会创未来
2017东芝PCIM在线展会
2017东芝PCIM在线展会
TI车载信息娱乐系统的音视频解决方案
TI车载信息娱乐系统的音视频解决方案
汇总了TI汽车信息娱乐系统方案、优质音频解决方案、汽车娱乐系统和仪表盘参考设计相关的文档、视频等资源
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2017 EEWORLD.com.cn, Inc. All rights reserved