Heartbleed漏洞对Android平台影响有限

作者：Yulong Zhang、Hui Xue与Tao Wei / FireEye

OpenSSL Heartbleed 漏洞让远端骇客利用窜改的封包并触发缓冲区溢位来窃取记忆体中的机密资料[1]。 Heartbleed 漏洞震惊了业界，因为它能让骇客传送被窜改的SSL heartbeat讯息，并藉此窃取受骇网站上的机密资料。由于伺服器也能传送heartbeat讯息给用户端，因此恶意伺服器也能攻击用户端并窃取机密资料。我们在Android平台上发现某些Android程式含有具Heartbleed漏洞的OpenSSL函式库，而且下载次数高达1.5亿次。

目前 Google Play 中有17个号称可侦测Heartbleed漏洞的防毒程式，其中六种会扫描Android平台上的OpenSSL函式库，以找出漏洞。不过，这种方法并无法有效侦测出Android上的Heartbleed漏洞。除了特定Android版本(4.1.0-4.1.1为主)，大部分 Android平台都没有这样的弱点，因为他们都是使用不会受影响的OpenSSL函式库，或已停用OpenSSL heartbeat功能。

不过，Android程式经常使用自建函式库，因此会直接或间接地用到易受攻击的OpenSSL函式库。换句话说，即使Android平台本身安全无虞，骇客仍可对易受攻击的程式发动攻击，例如劫持网路连线、将程式导引至恶意伺服器，并将被窜改的heartbeat讯息传送到程式，以窃取机密资料。

我们研究了有安全弱点的OpenSSL函式库，并确认了攻击的事实，结果发现易受攻击的大多数是游戏程式，以及少数的文书应用程式。虽然游戏程式通常没有太多重要资料，但骇客仍可窃取OAuth代码(例如存取与更新代码)并入侵玩家帐号，如此一来，骇客就能用这些资料入侵相关的社群网站帐号，并更改设定。至于遭受 Heartbleed 漏洞攻击的办公室文书软体可能导致机密资料外泄，因此危险性较高。

在调查含有 OpenSSL 函式库安全弱点的办公室文书软体时，我们很惊讶地发现它们并不会遭受 Heartbleed 攻击。为什么呢？经过深入探讨，我们发现这些程式不是原生码的连结有问题，就是含有无效的程式码。因此，当骇客试图启动SSL功能时，程式会直接用Android作业系统内无安全弱点的OpenSSL函式库，而不会用程式提供的有弱点函式库。使用原生码开发的Android应用程式经常会出现这种连结错误，没想到这种错误却歪打正着地降低了程式被攻击的风险。

在Google Play的17个Heartbleed漏洞侦测程式中，只有六个会针对装置上已安装程式检查Heartbleed漏洞。在这六个程式中，其中两个的检查结果显示所有已安装的程式都是安全的，包括我们确认已遭受攻击的程式、其中一个未显示任何扫描结果、另一个未扫描正确的OpenSSL版本，只有剩下的两个程式有进行深度检察。

虽然这两个程式把某些安全程式标记为受攻击的程式，不过我们认同此份报告的有效性，因为内容提到了漏洞与连结错误。我们也发现这17种Heartbleed漏洞侦测程式中有几个是虚有其表的，不仅无法实际侦测漏洞，也不会显示侦测结果，因此充其量只是广告软体。

我们于4月10日检视了5.4万个Google Play上的应用程式(每个程式下载率都超过10万次)，发现至少有2.2亿次的下载遭受Heartbleed漏洞攻击。我们也通知程式的开发人员与函式库厂商，告知产品有OpenSSL Heartbleed漏洞。幸亏大多数的开发人员与函式库厂商都很重视Heartbleed漏洞这个问题，并于修复后推出更新版本。至4月17日为止，遭受攻击的程式下载率已降到1.5亿次。

注[1]：CVE-2014-0160漏洞摘要

(本文原刊登于Mobile Threats、Threat Intelligence、Threat Research与Vulnerabilities等FireEye部落格)

谷歌浏览器下载

谷歌浏览器最新版

Google Chrome

Google Chrome