受到推崇的, 2024

编辑的选择

数百款Android和iOS应用仍然容易受到FREAK攻击

Anonim

这些应用程序尚未针对FREAK攻击进行修补,这是由3月3日研究人员透露的对RSA-EXPORT Keys进行因子分解攻击的简称。

尚未确定的未打补丁应用程序属于金融,通信,购物,商业和医药等类别,计算机安全公司FireEye说:在周二的博客文章中。

[进一步阅读:如何从您的Windows PC中移除恶意软件]

这些发现突出显示了即使是一些最公开和严重的漏洞可能需要相当多的时间才能修复。这对那些使用开发人员并不能快速修补它们的应用程序的人员构成了风险。

研究人员本月早些时候透露,许多软件程序和浏览器都容易受到FREAK的攻击,这是一个漏洞,可以允许SSL / TLS(安全套接字层/传输安全层)加密密钥被降级到512位,远低于目前通常使用的2,048位密钥。

这个缺陷是美国政府在20世纪90年代限制出口海外软件产品的一个遗留问题。加密密钥。许多产品仍然可能被迫使用弱密钥,这可以通过在公共云服务上运行数学软件来破解。

FREAK的独特之处在于需要升级各种产品以解决问题。苹果和谷歌已经修补了他们的移动操作系统,但许多与这些设备兼容的应用程序也必须升级。 FireEye发现了很多例子,截至上周,这种情况还没有发生。

Google Play发现了1,228个Android应用程序,在他们分析的10,985个应用程序中仍然存在漏洞。所有的应用程序已被下载超过一百万次。 FireEye表示,在易受攻击的应用程序中,664使用Android捆绑的OpenSSL库,而其余的都有自己的OpenSSL编译版本。

OpenSSL是一个广泛使用的用于SSL / TLS连接的开源软件包。该软件在去年发现了一些重大缺陷后受到了严密审查,其中包括Heartbleed,POODLE和FREAK。

在iOS方面,FireEye表示,看到的14,079个应用程序中有771个是易受攻击的,但在大多数情况下,只有当它们运行在8.2之前的iOS版本中时,才会修补问题。 FireEye写道:“iOS 8.2中只有7个应用程序仍然存在漏洞。”“FREAK攻击对移动应用程序的安全和隐私构成严重威胁。 “我们鼓励应用程序开发人员和网站管理员尽快解决此问题。”

Top