FREAK漏洞影響2千個受歡迎的iOS與Android程式

資安業者FireEye旗下的威脅研究團隊調查發現，先前被揭露的FREAK（Factoring RSA Export Keys）出口金鑰漏洞對手機App的安全威脅不容小覷，該公司偵測Android與iOS平台上受歡迎的行動程式發現，Google Play上有1228個程式受到波及，蘋果App Store也有771個程式含有該漏洞，單單Android總計就相當於63億次的下載量。

FREAK漏洞存在於多個OpenSSL開放源碼安全協定版本中，允許駭客干預客戶端與伺服器端的HTTPS通訊，強迫使用弱金鑰，進一步竊取雙方所傳遞的機密資料。弱金鑰起因為美國早期所實施的出口金鑰管制。

除了Android平台與iOS平台都受到FREAK漏洞的影響外，Android與iOS程式也可能因為使用含有該漏洞的OpenSSL函式庫（library）而遭到波及。就算業者修補行動平台，但若這類程式連結了接受出口金鑰套件的伺服器，仍然無法倖免於難。

FireEye調查了Google Play上下載次數超過100萬次的10985個程式，發現有1228個（11.2%）因為使用有漏洞的OpenSSL函式庫連結有漏洞的HTTPS伺服器而可能導致FREAK攻擊，其中的664個使用Android平台所提供的OpenSSL函式庫，564個使用自己編譯的OpenSSL函式庫。而這1228個程式的總下載數量則超過63億次。

在iOS程式部份，FireEye檢驗了14079個iOS程式，當中有771個（5.5%）含有FREAK漏洞，由於蘋果已修補iOS 8.2，因此絕大多數程式只有在iOS 8.2平台版本以下運作時才有遭到FREAK攻擊的風險，其中的7個因使用自己的OpenSSL函式庫而可能受駭。

FireEye分析，駭客可能會利用中間人（man-in-the-middle ，MITM）攻擊技術來干預行動程式與伺服器之間的流量，可先紀錄弱加密的網路流量，之後再將其破解以存取機密資料，例如可針對購物程式執行FREAK攻擊，用以竊取使用者的登入憑證及信用卡資訊。FireEye呼籲行動程式開發商及網站管理人員都應儘快修補相關漏洞。（編 譯/陳曉莉）