在該漏洞使網路處於高度戒備狀態7周後,Heartbleed仍然在引發問題。葡萄牙安全研究人員Luis Grangeia的一份新報告描述瞭如何在Wi-Fi上使用相同的漏洞來啟用基於相同漏洞的新型別攻擊。
傷害將比心血更能控制
新的攻擊線被稱為丘位元(Cupid),它將透過Wi-Fi而不是開放的web執行同樣的令人心碎的程式,要麼從企業路由器中提取資料,要麼在Android裝置連線時使用惡意路由器從其中提取資料。在每種情況下,攻擊者都能夠檢視目標裝置的工作記憶體片段,從而可能暴露使用者憑據、客戶端證書或私鑰。Grangeia在今天早些時候釋出了一個bug的概念證明,並敦促供應商和管理員升級他們的裝置。
任何執行4.1.1版本的jellybean的Android裝置都是易受攻擊的
目前尚不清楚有多少裝置易受攻擊,但其危害可能遠大於心血。最易受攻擊的目標是基於EAP的路由器,它們需要單獨的登入和密碼,這是無線區域網中常見的解決方案。在這些情況下,攻擊者可以使用Heartbleed從路由器或身份驗證伺服器中提取私鑰,從而有效地繞過任何安全措施。Grangeia說,他還沒有做足夠的測試來估計這些路由器中有多少在執行易受攻擊的配置。更重要的是,攻擊只能針對Wi-Fi範圍內的裝置,嚴重限制了潛在目標。”Grangeia說:“這種攻擊的特殊變體可能關閉起來比較慢,但它不應該像最初的bug那樣廣泛,因為易受攻擊的裝置的範圍較低。”
另一個問題是Android裝置仍然執行4.1.1版本的Jelly Bean,這是已知的易受漏洞攻擊的裝置。在基於路由器的攻擊中,攻擊者會提供一個開啟的Wi-Fi訊號,然後執行Heartbleed攻擊,從任何連線的裝置中提取資料。這是一種新的攻擊方式,使得許多Android裝置處於新的易受攻擊狀態。截至上個月,仍有數百萬臺裝置在執行4.1.1,包括HTC One的幾個變種。許多人在攻擊後更新,但其他人可能仍然很脆弱。
“多年來,我們都會看到令人心碎的駭客攻擊。”
更廣泛地說,它提醒人們,安全界仍在努力應對各種令人心碎的後果。即使在中央伺服器打了補丁之後,研究人員也能發現更多不明目標的攻擊。OpenSSL和TLS等易受攻擊的服務被廣泛使用,留下了廣泛的潛在目標。”web和電子郵件是[TLS]的最大使用者,但絕不是唯一的使用者,“哥倫比亞大學教授Steve Bellovin說,”任何未修補的實現都有可能受到Heartbleed的影響。“到目前為止,大多數現代系統都將升級到防Heartbleed版本的OpenSSL,但人們總是擔心一些接入點仍將保持未修補狀態。
至於心血帶來的更廣泛影響,Errata Security創始人羅伯特•大衛•格雷厄姆(Robert David Graham)估計,只有一半的損失得到了清理,這表明丘位元可能是社群麻煩中最小的一個。”格雷厄姆對《邊緣報》說:“多年來,我們將看到一些重要的令人心碎的駭客攻擊。”。
... WPA3改進了什麼?你的路由器會用嗎?WPA3什麼時候上市?我們來看看。 ...
...,但幾乎所有現代裝置都接受了較新的標準。雖然大多數路由器仍然提供WEP作為一種選擇,但從來沒有一個好的理由使用它。如果舊裝置仍然依賴WEP,則升級它,而不是允許該裝置損壞您的網路。遠離公共Wi-Fi網路,因為它們也...
... 加密在網路中起著至關重要的作用。它保護路由器和無線裝置之間的通訊,從而確保沒有人可以監視您的行為或向傳輸中注入惡意程式碼。 ...
...還有你的資料。你不妨大聲說出你的細節。一個被破壞的路由器可以相對簡單地抽走大量的個人資料:例如,只要進入你的電子郵件,駭客就可以訪問你的使用者名稱、密碼和私人資訊,除此之外還有很多! ...
...中的絕大多數人每天都會在某個時間點將移動裝置連線到路由器,比如智慧**、平板電腦、膝上型電腦或其他。此外,物聯網裝置使用Wi-Fi連線到網際網路。 ...
... VPNFilter是一種最新的惡意軟體變種,它攻擊路由器和物聯網(IoT)裝置。惡意軟體分三個階段工作。 ...
如果你設定了你的路由器,並開始使用它沒有任何配置,很可能是它不是很安全。你可能連線了不需要的裝置,或者在你的安全覆蓋範圍內有一個大洞,甚至不知道。 ...
... 中間人攻擊是指駭客使用計算機或智慧**模擬可信路由器。如果他們成功了,他們可以透過他們的裝置重新路由你的網際網路流量並檢視它。他們甚至可以提供你認為你正在訪問的網站上沒有的資訊。 ...