存在於多種 OpenSSL 版本的 FREAK 漏洞影響範圍廣泛,除 Adroid、iOS、OSX 外,Windows 大部分版本亦未能倖免。據資安服務供應商日前的調查指,此「怪胎」對手機應用的安全威脅不容小覷,受影響的流動系統主要為 iOS 與 Android,在流動裝置活躍的時下,其影響遠比電腦深遠。
影響遠超預期,完全堵塞有難度
據 FireEye 的資安研究小組近日的調查發現,早前披露的 FREAK (Factoring RSA Export Keys) 出口金鑰漏洞對手機 app 的安全威脅不容小覷;因為不少在兩大主要流動平台 Android 及 iOS 上的受歡迎程式均受其影響:Apple App Store 上有 771 個應用程式受此漏洞影響,Google Play 更有達 1228 個程式受到波及,而單計 Android 總計就擁有 63 億下載量,可由此都測受影響用戶數量眾多。
除 Android 與iOS 均受到 FREAK 影響外,上述兩個平台的程式亦有可能因使用含有 FREAK 的OpenSSL library 而受波及;即使服務供應商主動對其產品進行修補,但因受沿用此出口金鑰套件的伺服器,所以依然無法倖免於難,可見 FREAK 牽連甚廣。
據 FireEye 分析指,黑客或會利用中間人 (man-in-the-middle ,MITM) 攻擊以干預程式與伺服器之間的流量,透過紀錄系統運作的弱點,再將其破解以存取機密資料,所有 FireEye 亦呼籲流動程式開發商與網站管理人員都應儘快修補相關漏洞,以策萬全。
Source:FireEye