FREAK漏洞影响2千个受欢迎的iOS与Android程式

2015-03-22 14:42:01来源: ithome
    FireEye调查了Google Play上下载次数超过100万次的10985个程式,发现有1228个(11.2%)因为使用有漏洞的OpenSSL函式库连结有漏洞的HTTPS伺服器而可能导致FREAK攻击;检验了14079个iOS程式,当中有771个(5.5%)含有FREAK漏洞



图左:有FREAK漏洞的Apps;图右:Android平台上有FREAK漏洞的Apps下载数量。


资安业者FireEye旗下的威胁研究团队调查发现,先前被揭露的FREAK(Factoring RSA Export Keys)出口金钥漏洞对手机App的安全威胁不容小觑,该公司侦测Android与iOS平台上受欢迎的行动程式发现,Google Play上有1228个程式受到波及,苹果App Store也有771个程式含有该漏洞,单单Android总计就相当于63亿次的下载量。

FREAK漏洞存在于多个OpenSSL开放源码安全协定版本中,允许骇客干预客户端与伺服器端的HTTPS通讯,强迫使用弱金钥,进一步窃取双方所传递的机密资料。弱金钥起因为美国早期所实施的出口金钥管制。

除了Android平台与iOS平台都受到FREAK漏洞的影响外,Android与iOS程式也可能因为使用含有该漏洞的OpenSSL函式库(library)而遭到波及。就算业者修补行动平台,但若这类程式连结了接受出口金钥套件的伺服器,仍然无法幸免于难。

FireEye调查了Google Play上下载次数超过100万次的10985个程式,发现有1228个(11.2%)因为使用有漏洞的OpenSSL函式库连结有漏洞的HTTPS伺服器而可能导致FREAK攻击,其中的664个使用Android平台所提供的OpenSSL函式库,564个使用自己编译的OpenSSL函式库。而这1228个程式的总下载数量则超过63亿次。

在iOS程式部份,FireEye检验了14079个iOS程式,当中有771个(5.5%)含有FREAK漏洞,由于苹果已修补iOS 8.2,因此绝大多数程式只有在iOS 8.2平台版本以下运作时才有遭到FREAK攻击的风险,其中的7个因使用自己的OpenSSL函式库而可能受骇。

FireEye分析,骇客可能会利用中间人(man-in-the-middle ,MITM)攻击技术来干预行动程式与伺服器之间的流量,可先纪录弱加密的网路流量,之后再将其破解以存取机密资料,例如可针对购物程式执行FREAK攻击,用以窃取使用者的登入凭证及信用卡资讯。FireEye呼吁行动程式开发商及网站管理人员都应尽快修补相关漏洞。(编 译/陈晓莉)

关键字:FREAK漏洞  iOS  Android

编辑:北极风 引用地址:http://www.eeworld.com.cn/xfdz/2015/0322/article_40853.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
FREAK漏洞
iOS
Android

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved