安全协议存重大漏洞 国内众多网站恐中招
中国日报网4月10日电(信莲)综合外国媒体4月9日报道,众多网站使用的OpenSSL安全协议日前被曝存在漏洞,可能导致用户账号和密码以及通讯信息等大量隐私数据被盗取,谷歌、雅虎、脸谱网等诸多大型网站受到波及。
***“变成废锁”
OpenSSL是互联网上应用最广泛的一种安全协议,旨在为网络通信提供安全及数据完整性,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。目前,全球约有2/3的网站使用该协议。
这个名为“心脏出血”(heartbleed)的漏洞由网络安全公司Codenomicon和谷歌安全工程师共同发现。根据其描述,攻击者可利用该漏洞“窃取聊天工具的信息、直接从网络服务和用户处盗走隐私数据,甚至可以假扮用户”。
“通俗地说,OpenSSL是互联网上销量最大的门锁,而这个漏洞可以让特定版本的OpenSSL成为无需钥匙即可开启的废锁。”据Codenomicon公司介绍,虽然还无法确认“心脏出血”漏洞是否已遭大范围滥用,但他们已确认能够利用该漏洞不留痕迹地对某个网站发起攻击。
“我们站在攻击者的角度,对本公司一些网络服务进行了安全性测试。我们从外部攻击网站,没有留些一丝痕迹。”Codenomicon公司称,“不需要使用任何特许信息或者证书,我们成功盗取了密钥,获得用户名和密码、即时通讯工具信息、电子邮件以及重要的商业文档等数据。”
***“史上最糟糕”
至于这个漏洞的影响范围究竟有多大,目前还难以确定,但访问人数众多的支付宝、淘宝、银行网银系统等国内多种网站,基本上都存在潜在风险。在国外,受波及者也是数不胜数,大名鼎鼎的谷歌、雅虎、亚马逊和脸谱网均包括在内。
自漏洞曝出后,受影响公司在争分夺秒地升级系统、修补漏洞。谷歌公司称,已经对该公司的主要服务进行了修正。脸谱网宣称早在漏洞被曝光前就采取了额外保护措施。雅虎公司表示,雅虎主页、搜索、财经、体育等主要产品已“成功进行恰当的更正”,并且还在努力修复旗下其他站点。而OpenSSL也已发布修复漏洞的新版本,要求用户必须更新软件以确保安全性。
不过,网络安全专家认为,即使漏洞得到修复,也无法确定此前是否已有黑客利用漏洞进入网站盗取数据。马修•普林斯是一家网络安全公司的首席执行官,他认为“心脏出血”漏洞可能会影响“几乎所有人”。“有超过60%的网站使用OpenSSL安全协议,黑客可利用这个漏洞读取电脑里的一切内容,”普林斯说,“这简直是史上最糟糕的互联网漏洞之一。”
(编辑:王辉)
热门推荐
更多>- 英国女孩镜子后留3000字感人遗言 二战老兵纪念诺曼底登陆70周年 英女子“害羞成疾” 催眠康复后成内衣模特 G7峰会花絮:司机为奥巴马座驾除雨水 日本软银宣布涉足类人机器人业务 2015年起销售 金正恩携妻视察果树农场 李雪主黑色裙装端庄大方
- 中国日报漫画:一意孤行 美国向柬埔寨归还遭掠夺佛像 泰国女兵街头深情献唱与民众合影 越南小型AIP潜艇首次海试失败(组图) 韩国地方选举今日举行 郑梦准冒雨跪地拉票 欧美民众着盟军军装纪念诺曼底登陆70周年
- 摄影师微距揭秘昆虫世界:如外星生物(组图) 加男子为英女王打造镶钻豪华马车 似移动博物馆 塔利班公开移交美军士兵视频 西班牙最美王储妃着装盘点 叙利亚总统巴沙尔夫妇参加总统大选投票 中国日报漫画:亚太再平衡战略