揭秘Heartbleed漏洞的7大谣传

APP开发指南 日期:2014-04-15

本周,一个代号为“Heartbleed"的漏洞曝光引起了人们的恐慌,这种编码错误在无意中就会对多个大型网站的在线服务的安全造成威胁。该漏洞的揭露震惊中外,并且媒体跟进报道,Heartbleed引起的恐慌似乎有增无减。这一令人遗憾的结果其实是许多谣传的消息造成的。

乐意跟我一起揭秘这些谣传么?以下是我在这周内听说到的一些有趣的事情,我将会详细解释为什么他们并非是谣传的这样。

谣传1Heartbleed是一种病毒

这种OpenSSL代码库的缺陷并不是病毒,而是一种漏洞,是一种简单的编码错误,它存在于被多数互联网和其他服务器使用的开源加密协议中。

当OpenSSL代码库运转正常时,它可以确保网络通信不受监听(某个网站可能正在使用OpenSSL密码库的暗示就是该网站会加密HTTP,使之变成HTTPS,尽管其它形式的安全协议也有这种功能)。

因此,可以确定Heartbleed是个被无意中开放的漏洞,使得不法分子可以监控通信或登录的脚本,并且盗取机密数据和档案。

谣传2该漏洞仅仅对互联网有影响

服务器和路由器的潜在安全隐患使得大量的数据泄露,这成为现在亟需解决的大问题。此外,互联网,在线服务和网络服务器有成为除了lion系统之外被攻击的趋势,但是他们并不是唯一的潜在目标。

用户们受到所谓的“反向Heartbleed"的影响,正处于风险之中,他们在使用手机,笔记本电脑和其他的一些设备时,经常跳转连接到其他的网站。

“通常对于用户来说,内存仅仅被分配到正在运行的程序中。因此,我们不必要进入所有的程序,但是仍然可能泄露邮件,文档和登录的信息。"DavidChartier在ReadWrite上如是说到。DavidChartier是芬兰的一家安全公司科诺康的CEO,这家公司协助发现了Heartbleed漏洞。

对于智能家居的用户而言,未经授权的账户和系统可以设置权限这个想法让人特别恐慌。为此,我特别联系到了几家新兴的公司,SmartThings,Revolv,Zonoff(为StaplesConnect智能家居平台提供动力的一家公司)以及iControl (向TimeWarnerCable,ADT,Comcast,Cox,Rogers和其它公司提供技术支持的一家公司)。

SmartThings和Revolv通过把他们的软件更新到最新版本的OpenSSL来修补漏洞。而iControl返回汇报道,他们并不使用OpenSSL。在这个关键时刻,Zonoff却不做任何评论。

(更新报道:Zonoff同样使用OpenSSL,但是该公司确认已经将受影响的服务器更新到最新的版本,完成了漏洞的修补)

谣传3黑客可以利用该漏洞远程控制用户手机

目前的种种迹象表明,黑客并不能利用Heartbleed直接入侵并控制用户的智能手机。并且,有风险的是存储在手机内存中的数据,至少对那些没有更新最新版本的OpenSSL的设备是这样。

即使黑客可以通过Heartbleed直接入侵用户的手机,iPhones和大多数的安卓系统对其是有防御功能的。当然,安卓4.1.1除外。然而,谷歌却坚持认为修复Heartbleed的补丁可以覆盖所有的手机操作系统。

总的来说,大部分iOS和安卓系统没有受到影响让人大大的松了一口气,特别是从其他方面考虑最近iOS系统的安全问题。

当然,这些手机上运行的应用程序又是另一回事儿。黑莓承认,iOS和安卓版的BBM容易受到Heartbleed的影响。入侵者们依然不能进入手机内存之中,但是他们有可能监听程序中没有加密的通话。(更新报道:黑莓称已经有更新版的BBM解决Heartbleed的入侵问题)

谣传4由于微软抛弃了他们,XP系统的用户会陷入大麻烦

这个消息完全不能当真。当然,这个时机不太对。因为微软宣称不再支持XP用户是在Heartbleed漏洞开始席卷各地的当口。但是,微软不使用OpenSSL为XP更新补丁和修复也是一个不争的事实。

这个消息对于仍然在使用已经14周岁的XP操作系统的用户而言无疑是个重磅炸弹,这些用户占目前运行桌面用户的四分之一多。如果Heartbleed漏洞对其有影响,由于微软停止补丁和漏洞的更新,他们就会无法脱困。

使用XP系统的用户,事实上,所有的Windows的用户都会获得微软公司自己加密的安全信道(akaSChannel),并且它不受这种特殊的漏洞影响。然而,值得注意的是,XP用户虽然可以使用SChannel,却也依旧不能获得微软的进一步关于SChannel软件的支持或更新。

而使用微软Linux系统的云计算平台WindowsAzure用户们不包括在内。该平台包含的分布式应用依赖于OpenSSL,因此微软鼓励这些用户主动联系分布供应商以获取更新的软件。至于苹果电脑的OSX操作系统,苹果公司官方声明并不受Heartbleed的影响。



转载请注明文章出处:APP开发
上一篇:三星矢志开发独有的手机操作系统
下一篇:Facebook让女性对自己很没自信