“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。

更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。

NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。

与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。

换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。

好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。

用户行动计划

更新Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码

  • 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。
  • 立即检查网站是否有漏洞。有一个简单工具可用于此检查。
  • 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。
  • 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。
  • 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。

警告:小心预装恶意软件!

中国主要电视台CCTV每年3月15日,即国际消费者权益日都会举办”315晚会”。这个一年一次的盛会上会大量揭露与消费者侵权相关的事件。今年晚会上公布的多个侵权事件中,其中一例是智能手机销售渠道商在安卓手机上预装恶意软件,然后将其销售给不知情的用户。 如节目中所揭露的,预装的恶意软件名为DataService: 在有关于此的另一则新闻中,我们发现了此恶意软件的md5: 这种恶意软件被卡巴斯基检测为Trojan.AndroidOS.Uupay.a。它不是一种独立的程序,而是与普通的安卓应用程序一起工作,这意味着大多数用户对此一无所知,直到收到夸张的电话帐单时才会发现有问题。那么”DataService”恶意软件究竟是做什么的呢?据报道,它可以上载大量信息,像IMEI、MAC地址、手机型号、安装应用列表等。此外,还能推送大量广告,并下载特定应用程序。下面我们将从代码级别深入地了解并验证这些功能。 首先,我们将从大体上来看看该恶意软件应用包中解压出的AndroidManifest.xml,它提供了关于应用的基本信息。只需看一眼,我们就能看出该文件确实获取了各种敏感权限,其中一些权限会让您进行消费,并有权访问您的敏感信息: 另外还有一些URL引人注意: 稍后我们将解释这些URL是如何使用的。 对此恶意软件的某些变种进行反编译后,我们发现,它们都包含名称类似com.google.hfapservice和com.uucun.android的软件包。 虽然名称中包含google,但com.google.hfapservice与google没有任何关系,它可用于在后台下载其他应用。 下载后以静默方式安装。 它使用Airpush提供的推送服务: 运行用于访存和显示被推送广告的服务: 下载被推送的应用: 它还能从手机中获取各种细节信息,包括IMEI、MAC地址、手机型号、安装应用列表等。 名称类似com.uucun.android的软件包还含有代码,用于显示、下载和安装此软件包中的广告或其他应用。 从手机中收集信息: 然后将这些信息发送到服务器: 使用动态分析,我们跟踪到该恶意软件的网络流量,发现它会向http://******mall1.plat96.com/进行请求,以获取需要访存的应用列表: http://******mall1.plat96.com/本身看起来是某种类型的非官方安卓商店: 我们从访存列表中下载了一些应用,所有这些应用都包含与DataService类型相同的恶意软件。 现在,我们已经很清楚DataService恶意软件的主要功能,但我们的目的并不仅于此。这种恶意软件是怎样预装到数量如此庞大的全新手机中的?在”315晚会”上,CCTV的记者揭开了神秘的面纱。记者发现,一家附属于大唐电信科技产业集团的公司高鸿股份使用产品”大唐神器”来提供一种安卓应用预装服务。截止目前,高鸿股份已经拥有4600多家预装加盟代理商。这些代理商安装的应用数已超过4600万,每个月都会有100多万台手机上预装各种应用。 “大唐神器”究竟长什么样?它看上去不像一件艺术品,只是像下图这样的一个设备。 据称此设备能够在几分钟内就将设备中的所有应用自动安装到安卓手机上。下面的应用菜单附带价格表,每安装一件的价格从10到50美分不等。 通过预装列出的应用,高鸿股份加盟商即可以向高鸿收取费用,具体根据安装的应用数量计费。 此外,有报告指出,高鸿预装的应用会窃取用户的隐私信息。高鸿承认确有此事,但同时声称他们只是收集IMEI、MAC地址、型号和应用列表等统计信息,不会采集与手机号、通讯录和通话记录等相关的信息。但我们发现收集用户敏感隐私信息的Trojan-Spy.AndroidOS.Agent.k似乎与高鸿有着某种关系。 从反编译的代码中,我们可以看出它确实能上传用户的通话记录,并在30秒后重拨。 只要对www.goohi.cn执行简单的ping操作,就可以验证该IP地址是否确实与高鸿相关。 我们看到的IP地址与在恶意软件中看到的完全一样。虽然CCTV曝光说DataService恶意软件可能已预装到手机,也提到高鸿的”大唐神器”可用于此目的,但单从CCTV的报道来看我们还无法确认这两者间有确实的联系。然而根据”uucun”和一则有关uucun的新闻,我们发现它具有能在1亿多台手机上进行预装的预装渠道。 这不能不让我们对DataService恶意软件的预装渠道展开联想。

提示