lsl 发表于:14年04月14日 17:49 [转载] 比特网
北京时间4月14日早间消息,黑莓表示,计划于周五发布Android和iOS版BBM消息应用的安全更新,以解决与OpenSSL“心脏流血”漏洞相关的信息安全威胁。
上周,研究人员表示,被广泛应用的OpenSSL软件存在“Heartbleed”漏洞,这有可能导致黑客秘密窃取敏感的用户信息。这一漏洞最初被认为主要存在于一些网站,随后信息安全专家警告称,数据中心和运行Android和iOS系统的移动设备同样可能存在问题。
黑莓高级副总裁斯科特·托兹克周日表示,尽管黑莓的大部分产品并未使用存在漏洞的软件,但黑莓需要升级两款被广泛使用的产品:Android和iOS版BBM消息应用,以及Secure Work Space企业电子邮件服务。
他表示,如果用户通过WiFi或运营商网络使用这些软件,那么有可能受到黑客攻击。不过他表示,“风险等级很低”,因为黑莓的信息安全软件使得黑客很难在攻击中成功获取数据。“这将是非常复杂的攻击,只有在很短的时间窗口内才能完成。”而在黑莓发布此次安全更新之前,用户继续使用这些软件也是安全的。
谷歌和苹果公司均未对此消息置评。
信息安全专家表示,由于使用了OpenSSL代码,其他一些移动应用也存在类似问题。Lacoon Mobile Security的CEO迈克·绍洛夫(Micahel Shaulov)表示,他怀疑,除黑莓之外,其他移动设备管理应用也容易受到攻击,因为这些应用通常均使用OpenSSL代码。
他表示,移动应用开发者目前仍有时间去确定哪些产品存在漏洞,并及时修复漏洞。“黑客需要几星期甚至几周的时间,才能从‘概念验证’发展至实际对设备的攻击。”
科技公司和美国政府正认真对待这一安全威胁。美国联邦政府官员周五警告称,银行和其他企业有可能因这一漏洞遭到黑客攻击。包括思科、惠普、IBM、英特尔、Juniper、甲骨文和红帽在内的公司均提示客户,可能遭遇风险。一些公司已发布了安全更新,而包括黑莓在内的另一些公司则在加速发布更新。
目前尚没有公开报道显示,黑客利用“Heartbleed”漏洞进行了成功的攻击,但研究人员指出,这一漏洞的存在已有几年时间。这意味着,黑客有可能成功利用这一漏洞同时没有被发现,因为这样的攻击不会留下任何痕迹。
