在该漏洞使网络处于高度戒备状态7周后，Heartbleed仍然在引发问题。葡萄牙安全研究人员Luis Grangeia的一份新报告描述了如何在Wi-Fi上使用相同的漏洞来启用基于相同漏洞的新类型攻击。

伤害将比心血更能控制

新的攻击线被称为丘比特（Cupid），它将通过Wi-Fi而不是开放的web执行同样的令人心碎的程序，要么从企业路由器中提取数据，要么在Android设备连接时使用恶意路由器从其中提取数据。在每种情况下，攻击者都能够查看目标设备的工作内存片段，从而可能暴露用户凭据、客户端证书或私钥。Grangeia在今天早些时候发布了一个bug的概念证明，并敦促供应商和管理员升级他们的设备。

任何运行4.1.1版本的jellybean的Android设备都是易受攻击的

目前尚不清楚有多少设备易受攻击，但其危害可能远大于心血。最易受攻击的目标是基于EAP的路由器，它们需要单独的登录和密码，这是无线局域网中常见的解决方案。在这些情况下，攻击者可以使用Heartbleed从路由器或身份验证服务器中提取私钥，从而有效地绕过任何安全措施。Grangeia说，他还没有做足够的测试来估计这些路由器中有多少在运行易受攻击的配置。更重要的是，攻击只能针对Wi-Fi范围内的设备，严重限制了潜在目标。”Grangeia说：“这种攻击的特殊变体可能关闭起来比较慢，但它不应该像最初的bug那样广泛，因为易受攻击的设备的范围较低。”

另一个问题是Android设备仍然运行4.1.1版本的Jelly Bean，这是已知的易受漏洞攻击的设备。在基于路由器的攻击中，攻击者会提供一个打开的Wi-Fi信号，然后执行Heartbleed攻击，从任何连接的设备中提取数据。这是一种新的攻击方式，使得许多Android设备处于新的易受攻击状态。截至上个月，仍有数百万台设备在运行4.1.1，包括HTC One的几个变种。许多人在攻击后更新，但其他人可能仍然很脆弱。

“多年来，我们都会看到令人心碎的黑客攻击。”

更广泛地说，它提醒人们，安全界仍在努力应对各种令人心碎的后果。即使在中央服务器打了补丁之后，研究人员也能发现更多不明目标的攻击。OpenSSL和TLS等易受攻击的服务被广泛使用，留下了广泛的潜在目标。”web和电子邮件是[TLS]的最大用户，但绝不是唯一的用户，“哥伦比亚大学教授Steve Bellovin说，”任何未修补的实现都有可能受到Heartbleed的影响。“到目前为止，大多数现代系统都将升级到防Heartbleed版本的OpenSSL，但人们总是担心一些接入点仍将保持未修补状态。

至于心血带来的更广泛影响，Errata Security创始人罗伯特•大卫•格雷厄姆（Robert David Graham）估计，只有一半的损失得到了清理，这表明丘比特可能是社区麻烦中最小的一个。”格雷厄姆对《边缘报》说：“多年来，我们将看到一些重要的令人心碎的黑客攻击。”。