【赛迪网-IT技术讯】OpenSSL“心脏出血”漏洞的严重性远比想象的严重。一些用户没有考虑到,手机上大量应用也需要账号登录,其登录服务也有很多是OpenSSL搭建的,因此在漏洞没有修补好之前,用手机登录过网银、网购等重要账号极容易导致用户账户信息丢失。需要在漏洞修补后及时更改密码。
安天旗下AVL移动安全团队在“漏洞”消息爆出后,迅速对主流的网银、网购、证券、航旅软件的登录入口进行了安全检查,发现这个漏洞广泛影响到了多个应用,并尚有厂商未完成修补,除此之外,还发现一些手机应用不使用加密协议登录,这对于用户也是一个极为严重的风险。这是因为手机由于经常连接Wi-Fi,而当前钓鱼Wi-Fi广泛存在,无线Sniffer也大行其道。即使是家中的无线WiFi也不安全,此前有新闻报道,中国目前已经有数百万台无线路由器,遭到了入侵和控制。这都会导致明文协议传输的账户密码被攻击者很容易获取到。
针对“心脏出血”和其他不使用加密协议登录的手机APP,安天今日紧急为其手机安全专业检测分析工具AVL Pro添加了一个登录漏洞检测插件。该插件可以检测用户手机上的应用是否存在登录安全问题,包括登录入口的漏洞尚未修复、使用明文协议登录认证的问题。用户安装之后,可以看到不同应用是否存在登录验证的风险。
安天移动安全团队负责人潘宣辰表示,漏洞检测具有较强的实时性,建议用户及时更新检测插件和库,定期扫描,确认最新的应用登录安全状态。在漏洞问题完全修补之前尽量不要使用相关APP,对近期登录过网银、交易等重要站点的网民,应该在登录检测已经提示安全后,及时更改自己的密码。AVL Pro的这个插件同时也会告知你手机上哪些应用使用不加密的登录协议,在公共WIFI要尽力避免使用这些应用。
目前登录漏洞检测插件还不是AVL Pro的默认插件,需要安装AVL Pro后,到设置/插件管理中去下载。也可以在安装AVL Pro后,通过URL或者二维码下载安装插件,AVL Pro上就会有登录漏洞检测功能。
下载AVL PRO
http://cdn.update.avlyun.com/AvlPro/avlpro.apk
登录漏洞检测插件手工下载地址,注意:需要先安装AVL PRO,否则插件无法使用
http://cdn.update.avlyun.com/AvlPro/1006.apk