HKCert
保安博錄

了解在流動裝置上的 Heartbleed 漏洞

發布日期: 11 / 06 / 2014
最後更新: 19 / 06 / 2014

banner

 

最近,有資訊保安研究員發現了 OpenSSL 漏洞,名為 Heartbleed。這個漏洞震驚了整個互聯網,包括各大型網站,網頁寄存服務商,及互聯網使用者。

 

什麼是 Heartbleed

 

簡單來說,Heartbleed 是一個存在於 OpenSSL 版本 1.0.1 至 1.0.1f 中 Heartbeats 功能的漏洞。當攻擊者連接到存在漏洞的系統時,他便可以竊取伺服器上的資料,包括帳戶數據庫、伺服器私人密鑰等。整個竊取行為,伺服器是無法追查的。

 

了解更多詳情,請參考:「Heartbleed 漏洞的影響及應對」 <https://www.hkcert.org/my_url/blog/14041501>

 

流動裝置也有 Heartbleed 漏洞

 

有關 Heartbleed 漏洞,最受人關注的就是網頁伺服器 (Web Sever)。不過,除了電腦外,流動裝置也同樣存在 Heartbleed 問題。部份 Android 版本也使用了存在漏洞的 OpenSSL,導致資料外洩問題延伸至流動裝置。因此,用戶在以下兩個情況,可能存在保安風險。

 

情況1:流動裝置連接存有 Heartbleed 的伺服器

 

假如提供網上服務的伺服器存在 Heartbleed 漏洞,攻擊者可能已竊取伺服器上的資料,包括建立加密連線的私人密鑰。當用戶透過應用程式或瀏覽器連接到該伺服器時,兩端建立的通訊渠道便不再安全。

 

解決方法:

  1. 在此情況,用戶需要了解提供網上服務的伺服器是否已修補 Heartbleed 漏洞。對伺服器進行測試及應對方法,用戶可參考「Heartbleed漏洞的影響及應對」 <https://www.hkcert.org/my_url/blog/14041501>
  2. 待網上服務伺服器的 Heartbleed 漏洞修補後,我們建議用戶更改相關服務的帳戶密碼,以確保資料安全。
 
圖 1) 由於Heartbleed伺服器的密鑰可能被盜,導致通訊渠不安全。
圖 1) 由於 Heartbleed 伺服器的密鑰可能被盜,導致通訊渠不安全。
 

情況2:流動裝置使用了存有漏洞的 OpenSSL 程式庫

 
如果用戶的流動裝置系統或應用程式使用存有漏洞的 OpenSSL 程式庫,當用戶透過瀏覽器或應用程式連接到惡意伺服器時,惡意伺服器的擁有人 (攻擊者) 便可利用 Heartbleed 漏洞進行逆向攻擊,竊取用戶流動裝置上的資料。
 
* 由於 Apple iOS 和 Windows Phone 系統不是使用 OpenSSL 程式庫,所以不受影響。
 
圖2) 當Heartbleed流動裝置接接到攻擊者安排的惡意網站,攻擊者便可進行逆向攻擊,竊取流動裝流動裝置上的資料。
圖2) 當 Heartbleed 流動裝置接接到攻擊者安排的惡意網站,攻擊者便可進行逆向攻擊,竊取流動裝流動裝置上的資料。
 
偵測流動裝置的 Heartbleed 漏洞
 
在情況2,Android 系統是最廣泛使用 OpenSSL 的流動裝置。不過,只有部份 Android 版本使用的 OpenSSL 版本存有漏洞。即使使用存有 Heartbleed 漏洞的版本,只要系統沒有啟用 Heartbeats 功能,系統仍然安全。
 
不過,由於不同的流動裝置生產商都提供自家製訂的 Android 系統,而且在使用 OpenSSL 的版本上沒有劃一標準,所以,要知道自己的裝置是否存在漏洞,不能單靠 Android 版本來決定,而需要使用應用程式進行測試。
 
從官方 Play Store 可找到的 Heartbleed 檢測應用程式,它們除了檢測你的 Android 系統是否存在 Heartbleed 漏洞外,還會掃瞄系統內的應用程式有沒有使用自訂存有漏洞的 OpenSSL 程式庫,以確保系統及程式沒有 Heartbleed 漏洞。請參考附錄「Heartbleed 檢測應用程式列表」。
 
解決方法:
  1. 掃描你的系統和應用程式是否存有 Heartbleed 漏洞。
  2. 如果你的 Android 系統存在 Heartbleed 漏洞,請跟你的 Android 裝置生產商聯絡,並檢查你的 Android 裝置是否得到修補程式更新。
  3. 若應用程式存在 Heartbleed 漏洞,請停止使用該應用程式,並通知應用程式開發者更新到修補版本的 OpenSSL 程式庫。
  4. 待你的 Android 系統及應用程式的 Heartbleed 漏洞修補後,我們建議用戶更改流動裝置的帳戶密碼及相關的在線服務帳戶密碼,以確保資料安全。
 

附錄:

 
Heartbleed檢測應用程式列表