安全协议存重大漏洞 国内众多网站恐中招

中国日报网4月10日电（信莲）综合外国媒体4月9日报道，众多网站使用的OpenSSL安全协议日前被曝存在漏洞，可能导致用户账号和密码以及通讯信息等大量隐私数据被盗取，谷歌、雅虎、脸谱网等诸多大型网站受到波及。

***“变成废锁”

OpenSSL是互联网上应用最广泛的一种安全协议，旨在为网络通信提供安全及数据完整性，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。目前，全球约有2/3的网站使用该协议。

这个名为“心脏出血”（heartbleed）的漏洞由网络安全公司Codenomicon和谷歌安全工程师共同发现。根据其描述，攻击者可利用该漏洞“窃取聊天工具的信息、直接从网络服务和用户处盗走隐私数据，甚至可以假扮用户”。

“通俗地说，OpenSSL是互联网上销量最大的门锁，而这个漏洞可以让特定版本的OpenSSL成为无需钥匙即可开启的废锁。”据Codenomicon公司介绍，虽然还无法确认“心脏出血”漏洞是否已遭大范围滥用，但他们已确认能够利用该漏洞不留痕迹地对某个网站发起攻击。

“我们站在攻击者的角度，对本公司一些网络服务进行了安全性测试。我们从外部攻击网站，没有留些一丝痕迹。”Codenomicon公司称，“不需要使用任何特许信息或者证书，我们成功盗取了密钥，获得用户名和密码、即时通讯工具信息、电子邮件以及重要的商业文档等数据。”

***“史上最糟糕”

至于这个漏洞的影响范围究竟有多大，目前还难以确定，但访问人数众多的支付宝、淘宝、银行网银系统等国内多种网站，基本上都存在潜在风险。在国外，受波及者也是数不胜数，大名鼎鼎的谷歌、雅虎、亚马逊和脸谱网均包括在内。

自漏洞曝出后，受影响公司在争分夺秒地升级系统、修补漏洞。谷歌公司称，已经对该公司的主要服务进行了修正。脸谱网宣称早在漏洞被曝光前就采取了额外保护措施。雅虎公司表示，雅虎主页、搜索、财经、体育等主要产品已“成功进行恰当的更正”，并且还在努力修复旗下其他站点。而OpenSSL也已发布修复漏洞的新版本，要求用户必须更新软件以确保安全性。

不过，网络安全专家认为，即使漏洞得到修复，也无法确定此前是否已有黑客利用漏洞进入网站盗取数据。马修•普林斯是一家网络安全公司的首席执行官，他认为“心脏出血”漏洞可能会影响“几乎所有人”。“有超过60%的网站使用OpenSSL安全协议，黑客可利用这个漏洞读取电脑里的一切内容，”普林斯说，“这简直是史上最糟糕的互联网漏洞之一。”

（编辑：王辉）