全球逾六成網站採用的互聯網加密技術OpenSSL,近日爆出名為「心淌血」(Heartbleed)的漏洞,據報已潛伏兩年,黑客可藉此毫無痕迹竊取用戶密碼等敏感資料,令互聯網陷竊密危機。全球數以億計的Android手機及平板電腦用戶,亦面臨被黑客入侵的風險。
OpenSSL函數庫本月七日公布「心淌血」漏洞,稱黑客可藉此繞過網站的安全協定,每次盜取網站伺服器的暫存記憶體內64KB大小的加密資料,包括金鑰加密、用戶名稱及密碼、個人財務資料、通訊內容,甚至破解防火牆等其他網絡安全措施。
至前日,美國多間大型科技公司均宣布,旗下生產的路由器等網絡硬件,均有「心淌血」危機。
Google上周三稱,Android系統中僅有於前年推出的4.1.1版本,受「心淌血」影響。由於目前全球約三億用戶手機和平板電腦仍使用4.1各個版本,受影響人數可能數以億計。有專家指,八成的4.1.1用戶已受影響;由於用戶需要自行更新系統版本,因此難以杜絕「心淌血」問題。蘋果公司及微軟前日仍未回應,旗下的智能手機及平板電腦有否受「心淌血」問題影響。「心淌血」肆虐於前年三月起推出的OpenSSL 1.01至1.01f版本,至今已達兩年,但至近日始被發現。數據顯示,目前全球約三分之二網站均使用SSL加密,被盜資料用戶數量之巨難以估算。「心淌血」爆出後,Google、雅虎等各大網絡公司已紛紛推安全更新填補漏洞,並呼籲用戶更改密碼。美國政府前日已向銀行及商業機構發出警告,呼籲注意黑客利用「心淌血」漏洞犯案。
德國程式員澤格爾曼(Robin Seggelmann)前日承認,兩年前編寫OpenSSL時犯下錯誤,加上另一程式員檢查時未能發現,導致「心淌血」出現。Google網絡安全人員及一間芬蘭網絡安全公司近日分別發現漏洞,向OpenSSL函數庫匯報,「心淌血」才曝光。
本報綜合報道