人们认为这个问题与会很快得到解决。请记住,此漏洞基于 90 年代的 NSA 后门,可以在某些条件下拦截 HTTPS 流。大多数网络浏览器现已更新。但 FireEye 安全研究人员发现了一个漏洞:移动应用程序。
他们分析了数千万个 Android 和 iOS 应用程序。结果:在 10,985 个 Google Play 应用程序中,有 1,228 个 (11.2%) 容易受到 Freak 攻击,因为它们连接到接受弱 512 位 RSA-Export 加密密钥的服务器,并且使用易受攻击的 OpenSSL 库。然而,这些应用程序的下载次数……达到了 63 亿次。因此,潜在受害者的数量是巨大的。
在苹果方面,情况没那么严重:在分析的 14,079 个 App Store 应用程序中,如果用户使用 8.2 之前的 iOS 版本,则有 771 个应用程序(5.5%)容易受到攻击。但即使使用最新版本,七个应用程序仍然容易受到攻击,因为它们依赖于开发人员内部编译的 OpenSSL 库。
在易受攻击的应用程序中,我们发现了所有内容,但也包括敏感类别,例如金融、商业、健康、照片/视频、生活方式、社交网络等。
例如,FireEye 研究人员拦截了来自易受攻击的应用程序的 HTTPS 通信,并设法提取用户名、密码和信用卡数据等敏感信息。不幸的是,作为用户,很难知道应用程序是否容易受到攻击。没有像这样的在线测试对于浏览器。因此,有必要直接联系开发商,向他们询问问题……
来源 :
