互联网曝“心脏出血”漏洞：手机APP也难逃劫难

杨慈云

年度高危OpenSSL互联网“心脏出血”安全漏洞不但影响网站安全，手机APP同样也难逃劫难。据360手机安全中心最新统计发现，有50%的手机APP正在使用HTTPS安全传输协议。据Google证实，在安卓4.1.1手机上存在相应漏洞问题。安全专家表示，即使安卓

系统

无漏洞，这些使用了HTTPS协议的APP的服务器端信息仍有可能被黑客窃取。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。4月8日，OpenSSL爆出严重安全漏洞，此漏洞在黑客社区中被命名为“心脏出血”漏洞。

360安全专家石晓虹博士此前表示，OpenSSL“心脏出血”漏洞为本年度互联网上最严重的安全漏洞，影响至少两亿中国网民，初步评估一批HTTPS登录方式的主流网站，有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。

金山毒霸安全专家李铁军透露，这个漏洞使黑客可以远程读取HTTPS服务器的随机64KB内存，“只要这个黑客有耐心多捕获多分析那些64KB的数据，用户访问网站的COOKIES、SSL私钥、账号密码，这些数据全都可能被黑客远程读取到。”

安全专家进一步分析还发现，OpenSSL漏洞不仅影响HTTPS开头的网址，还影响到间接使用了OpenSSL代码的产品和服务，比如，VPN、邮件

系统

、FTP工具等产品和服务，甚至涉及到其他一些安全设施的源代码。“可以说，OpenSSL漏洞的危害远远超乎人们的想象，其后遗症也将持续很长一段时间”，360网站卫士工程师董方认为。

“漏洞被挖掘出来以后，带来的危害并不会非常快地显现。”瑞星安全专家唐威提醒，现阶段企业层面能做的是对使用的OpenSSL进行排查和升级。

OpenSSL漏洞被批露后，不少网站及时采取了补救措施，但仍有网站未引起足够的重视。数据显示，OpenSSL漏洞爆发三天后，仍有28.1%的网站主机没有修复漏洞。360网站安全检测平台对国内120万家经过授权的网站扫描后发现，4月8日共有18000多个网站主机存在漏洞。4月9日下午，有漏洞的网站主机数量下降到11000余个。截至4月10日中午，仍未修复漏洞的网站主机仍超过5000个。

为维护用户信息安全，安全专家建议：尽量在不同手机APP下使用不同密码，防止黑客攻击了某个服务器之后，使用同一密码进入你的其他客户端，特别是支付类应用的密码一定要单独设置；同时安装手机安全

软件

，检测手机及

网络安全

环境，防止被网络钓鱼。对于使用

电脑

上网的网民来说，在OpenSSL漏洞得到各大网站彻底修复前，尽量避免在有漏洞的网站上登入账号是最好的自保措施。