繼上週揭露了會廣泛影響行動 App程式的 Heartbleed (心臟出血) 漏洞、以及其可能造成的廣泛危害之後,趨勢科技調查發現,全球已有高達6000 多種流動App受到波及,其中「生活品味」與「娛樂」App各佔13%,成為受害最嚴重的類別!此外,Android 4.1.1 版作業系統也會受到影響。趨勢科技表示,Heartbleed漏洞的危害遍及各類型的App,故特別推出免費的Trend Micro Heartbleed Detector偵測工具,讓用戶立即檢查已下載的App是否安全,才能避免個資或交易資訊被竊取。
趨勢科技香港區顧問李浩然表示:「 OpenSSL 加密軟體程式庫的 Heartbeat延伸功能被發現含有一個稱為 Heartbleed (心臟出血)的漏洞 ,黑客如利用此漏洞攻擊伺服器時,就能讀取電腦記憶體的資料,而且完全不留任何痕跡。」
Heartbleed漏洞對用戶造成的影響如下圖:
▲ Heartbleed漏洞對用戶造成的影響
李浩然進一步指出:「趨勢科技於上週揭露了Heartbleed漏洞後,一直持續進行監控,並發現目前有超過6000 多種 App 程式受到影響,而且遍及各種類型,尤其以『生活品味』和「娛樂」此兩種與用戶日常生活高度連結的App各佔13%為最大宗,為受波及的App類別中第一名!」
以下是前十名受波及的行動應用程式App類別:
▲ 前十名受波及的行動應用程式 App類別。
趨勢科技也發現,Android 4.1.1 版本的作業系統,也內含了有 Heartbleed 漏洞的 OpenSSL 程式庫。在這個作業系統的裝置上,任何使用 TLS 連線的 App 程式,不論伺服器或用戶端都可能受到影響,當遭到攻擊時,其裝置記憶體的內容就可能遭人讀取。因此,趨勢科技呼籲Android 4.1.1 版的用戶,應立即更新至其他版本。
李浩然呼籲流動裝置用戶,應立即安裝可偵測Heartbleed的流動保安方案,並立即檢查已下載的其他App是否安全,才能避免個人資料或交易資訊被竊取。流動用戶可下載趨勢科技的免費「Trend Micro Heartbleed Detector」,並立執行以下檢查:
1. 檢查用戶是否安裝了潛藏「心臟出血」問題的行動應用程式App
2. 檢查已安裝的行動應用程式App,是否會連結到有潛在風險的網頁伺服器(採用趨勢科技獨家「行動裝置應用程式信譽評等技術 」(Mobile App Reputation Service, MARS)
若偵測到會連線到Heartbleed漏洞網站的App,「Trend Micro Heartbleed Detector」會跳出警告視窗,提醒用戶暫時不要執行該程式。
軟件名稱:Trend Micro Heartbleed Detector
下載位置:Google Play
