安全漏洞“心脏出血”继续 原因是“丘比特”

简介:
  
   虽然距离OpenSSL爆出 心脏出血漏洞 (heartbleed)已过去了有一段时间,但这个漏洞的影响却远没有结束。葡萄牙的安全研究人员发布的一份报告显示,同样的漏洞可以在WiFi传输过程中重演,攻击者可以借此对安卓设备进行攻击。

这种新型的攻击被称为“丘比特”,攻击方式与网页漏洞有所不同。当人们通过企业路由器或者恶意路由器连接安卓设备时,攻击者利用这个可以漏洞获取设备工作内存里的信息片段,从而窃取用户的信息。在这个过程中,用户证书、设备证书和密钥都会一览无遗。鉴于漏洞的严重性,研究人员已经发布了一个补丁,他们希望用户,特别是管理员能够尽早进行更新。

研究人员表示,目前尚不清楚有多少设备会遭受攻击,但是这个漏洞造成的破坏性可能不会比上次心脏出血漏洞大。其中,最可能遭受攻击的是无线LAN中常见的基于EPA的路由器,使用过程中通常需要单独用户名和密码进行登陆。在测试后他们发现,不管是路由器还是认证服务器,攻击者都可以利用心脏出血漏洞窃取用户密钥。虽然不知道有多少路由器会因配置问题会被攻击,但由于这种攻击只限于WiFi范围内,所以被攻击的目标也很明确,因此该漏洞造成的影响应该不会有之前那次那么广泛。

值得注意的是,许多安卓设备仍在使用4.1.1版的系统,而该版本最容易受到此漏洞的影响。在进行路由器攻击时,攻击者会提供一个公共的WiFi信号,然后利用心脏出血漏洞从连上该信号的设备里窃取信息。这种新型的攻击方式让很多安卓设备暴露于危险之中。据统计,到上个月底,仍有数百万的安卓设备在使用4.1.1版,这些没有进行更新的设备可能会遭受到攻击。这则消息更是一种警示,告诉我们心脏出血漏洞仍然在影响着大量设备。尽管大型服务器打了补丁,但是攻击者更可能暗地里对用户设备发起攻击。研究人员表示,由于OpenSSL和TLS这些服务的广泛使用,有一大批的设备会成为被攻击的潜在目标。  “虽然网页和邮件是TLS的最大使用者,但并不意味着只有他们使用这些服务。” 凡是没有打补丁的设备,都可能会被窃取信息。

迄今为止,心脏出血漏洞造成的破坏中,大概只有半数被清理干净,“丘比特”恐怕也只是冰山一角。在未来的数年内,我们可能仍会不断见到这类攻击。

  
 
  本文作者: 谭成好

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
存储 网络协议 安全
CentOS7下搭建Rsyslog Server记录远程主机系统日志
CentOS7下搭建Rsyslog Server记录远程主机系统日志
1472 0
CentOS7下搭建Rsyslog Server记录远程主机系统日志
|
XML Cloud Native 测试技术
云原生之使用Docker部署ONLYOFFICE Document Server在线办公工具
云原生之使用Docker部署ONLYOFFICE Document Server在线办公工具
2319 1
|
3月前
|
人工智能 API 开发工具
阿里云 Coding Plan 指南:是什么?售罄怎么办?价格与用量额度一次说清
阿里云百炼Coding Plan是面向AI编程的订阅服务,现仅售Pro版(200元/月),含9万次/月请求额度,支持qwen3.5-plus、kimi-k2.5等多模型及OpenClaw等工具,需专用API Key(sk-sp-开头)。Lite版已下架,每日9:30限量抢购。
|
安全 网络安全
MarkdownPad 文件访问权限受限导致软件打开后不久闪退解决方法
【8月更文挑战第31天】如果MarkdownPad因权限受限而闪退,可尝试:1)以管理员身份运行;2)检查并修改文件权限,确保有读写权限;3)关闭可能干扰的杀毒软件或防火墙;4)卸载后重新安装,注意选择合适路径并以管理员身份安装。
553 6
|
消息中间件 机器学习/深度学习 人工智能
AI赋能运维:实现运维任务的智能化自动分配
AI赋能运维:实现运维任务的智能化自动分配
1314 24
|
JavaScript 前端开发 开发者
vue3+ts配置跨域报错问题解决:> newpro2@0.1.0 serve > vue-cli-service serve ERROR Invalid options in vue.
【6月更文挑战第3天】在 Vue CLI 项目中遇到 "ERROR Invalid options in vue.config.js: ‘server’ is not allowed" 错误是因为尝试在 `vue.config.js` 中使用不被支持的 `server` 选项。正确配置开发服务器(如代理)应使用 `devServer` 对象,例如设置代理到 `http://xxx.com/`: ```javascript module.exports = { devServer: {
905 1
|
图形学
unity判断鼠标在不在UI上
在 Unity 中,判断鼠标是否在 UI 上主要依赖事件系统和射线检测机制。Unity 的事件系统负责处理输入事件,GraphicRaycaster 组件用于检测射线与 UI 元素的相交情况。通过 `EventSystem.current.IsPointerOverGameObject()` 方法可轻松判断鼠标是否在 UI 上。对于移动端,使用 `EventSystem.current.IsPointerOverGameObject(Input.GetTouch(0).fingerId)` 来判断触摸是否在 UI 上。代码实现简单且高效。
|
Java Spring Apache
springboot源码分析1-springboot版本号获取
摘要:在使用springboot的时候,可能经常会忽略掉springboot的版本问题。本文我们看一下springboot jar包中定义的版本信息以及版本获取类。
2328 0
|
存储 监控 数据可视化
在Linux中,有哪些日志管理和分析工具?
在Linux中,有哪些日志管理和分析工具?