被称为互联网史上最严重安全漏洞之一的“心脏出血”,眼下波及到了英国。据英国《每日邮报》4月14日报道,在英国用户众多的“妈妈网站”日前被黑客通过“心脏出血”攻击,成千上万英国妈妈的信息恐遭泄露。“妈妈网站”受到攻击后,最大后患在于大量用户在该网站使用的密码与在其他重要网站的密码一致,如此一来,黑客便可轻易地连续发动袭击,造成“灾难性的破坏和影响”。为此,“妈妈网站”紧急建议其150多万名用户立即修改密码。
“妈妈网站”是英国第一家公开承认因网络安全漏洞“心脏出血”受袭的大型网站。伦敦大学传媒学教授罗伯特在接受本报记者采访时说,“心脏出血”为全球网络安全敲响了警钟。所谓“心脏出血”,是指OpenSSL这个开源软件中出现的一个致命漏洞。SSL是为网络通信提供安全及数据完整性的一种安全协议,也是通用的免费加密技术,它可以保护互联网用户通过网络传输的隐私信息。由于免费、简单和使用方便,OpenSSL是目前互联网上应用最广泛的安全传输途径,并为众多网上银行、在线支付、电子邮件、电商网站、门户网站等使用。也正因为如此,黑客可以毫不费力地通过其漏洞轻松“作案”,使网络“心脏出血”。
据统计,全球约有2/3的互联网服务使用OpenSSL来保护用户的信息安全,因此该漏洞影响巨大,它可以让黑客随意盗取用户的用户名和密码。由于用户的大量隐私信息都存储在网站服务器的内存中,所以无论电脑多么安全、无论怎样杀毒都无济于事,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。这样一来,网银、邮箱等无一幸免。有网络专家指出,此次OpenSSL漏洞堪称“网络核弹”。
不容忽视的是,“心脏出血”还可能蔓延至手机领域。谷歌公司日前证实,安卓系统4.1.1手机上存在与“心脏出血”这一漏洞相关的问题,因为安卓4.1.1版采用了有漏洞版本的OpenSSL协议库。根据最新统计,4.1.X版本在所有安卓系统版本市场中占有率为34.4%。
谷歌公司表示,为防患于未然,现在公司正在为合作伙伴准备修复安全补丁。另据互联网安全公司奇虎360的统计数据,目前约有50%的手机应用使用HTTPS安全传输协议,其中包括手机广告插件类、手机支付类、社交分享类应用。在这些手机应用中,有部分采用了眼下出现严重漏洞的OpenSSL协议库。因此,有专家警告,“心脏出血”殃及手机是早晚的事。奇虎360公司建议,用户尽量在不同手机应用下使用不同密码,防止黑客发动连续攻击,尤其是网银、在线支付等金融类应用客户,一定要及时变更密码。
不过,也有人认为,“心脏出血”漏洞的威胁有被夸大之嫌。鉴于该款存在严重漏洞和缺陷的软件自2012年3月推出至今已两年有余,如果黑客想攻击,后果可能会更严重。尽管“心脏出血”影响面广,但问题本身并不复杂,这个漏洞是由一小段代码出错造成的,修补办法就是把那一行错误代码赶快替换为正确代码。
(本报驻英国记者 黄培昭 伦敦4月15日电)