在 Heartbleed 漏洞被揭發後,隨即引起了大規模的「換密碼」潮,更驚醒了部份本不把資訊安全視作一回事的用戶,其震撼與破壞力可想而知。即使時至 7 星期後的今天,我們均未脫離險境。
同一 Wi-Fi 環境下就可駭入
據一位葡萄牙籍資訊安全研究員 Luis Grangeia 在其報告中指相同的 Heartbleed 漏洞如何可在 Wi-Fi 環境下使用新方式以攻擊用戶。
新的攻擊方式名為 Dubbed Cupid,它可以透過 Wi-Fi 向處於相同網絡環境下的用戶發動攻擊:不論從企業的 routers 上竊走機密資料,或透過是含惡意軟件的 router 將資料從 Android 裝置上複製。在上述兩種情況下黑客均可以查閱受害人裝置上的記憶體及儲存在內的資料,導致用戶的憑證、私密金鑰 (private key) 有機會被洩漏。Grangeia 在較早前已測試此漏洞並呼籲用戶與供應商儘快更新其裝置以將風險降到最低。
Heartbleed 的威脅只是剛開始
現時尚未在清晰的數據顯示到受威脅的數量,外界普遍相信是次被揭發的漏洞將比 Heartbleed影響更多的用戶。Errata Security 創辦人 Robert David Graham 指認為現在 Heartbleed 充其量也只是處理了一半,相信 Heartbleed 的餘韻;將會於未來數年陸續出現。
Source:The Verge
