圖左:有FREAK漏洞的Apps;圖右:Android平台上有FREAK漏洞的Apps下載數量。

資安業者FireEye旗下的威脅研究團隊調查發現,先前被揭露的FREAK(Factoring RSA Export Keys)出口金鑰漏洞對手機App的安全威脅不容小覷,該公司偵測Android與iOS平台上受歡迎的行動程式發現,Google Play上有1228個程式受到波及,蘋果App Store也有771個程式含有該漏洞,單單Android總計就相當於63億次的下載量。

FREAK漏洞存在於多個OpenSSL開放源碼安全協定版本中,允許駭客干預客戶端與伺服器端的HTTPS通訊,強迫使用弱金鑰,進一步竊取雙方所傳遞的機密資料。弱金鑰起因為美國早期所實施的出口金鑰管制。

除了Android平台與iOS平台都受到FREAK漏洞的影響外,Android與iOS程式也可能因為使用含有該漏洞的OpenSSL函式庫(library)而遭到波及。就算業者修補行動平台,但若這類程式連結了接受出口金鑰套件的伺服器,仍然無法倖免於難。

FireEye調查了Google Play上下載次數超過100萬次的10985個程式,發現有1228個(11.2%)因為使用有漏洞的OpenSSL函式庫連結有漏洞的HTTPS伺服器而可能導致FREAK攻擊,其中的664個使用Android平台所提供的OpenSSL函式庫,564個使用自己編譯的OpenSSL函式庫。而這1228個程式的總下載數量則超過63億次。

在iOS程式部份,FireEye檢驗了14079個iOS程式,當中有771個(5.5%)含有FREAK漏洞,由於蘋果已修補iOS 8.2,因此絕大多數程式只有在iOS 8.2平台版本以下運作時才有遭到FREAK攻擊的風險,其中的7個因使用自己的OpenSSL函式庫而可能受駭。

FireEye分析,駭客可能會利用中間人(man-in-the-middle ,MITM)攻擊技術來干預行動程式與伺服器之間的流量,可先紀錄弱加密的網路流量,之後再將其破解以存取機密資料,例如可針對購物程式執行FREAK攻擊,用以竊取使用者的登入憑證及信用卡資訊。FireEye呼籲行動程式開發商及網站管理人員都應儘快修補相關漏洞。(編 譯/陳曉莉)

熱門新聞

Advertisement