6000個行動應用App恐洩漏用戶個資 趨勢科技「安全達人」可替用戶把關

【2014年4月18日台北訊】繼上週揭露了會廣泛影響行動 App程式的 Heartbleed  (心淌血) 漏洞、以及其可能造成的廣泛危害之後,趨勢科技今(17)日再度公布,目前全球已有高達6000 多種行動App受到波及,其中「生活品味」與「娛樂」App各佔13%,成為受害最嚴重的類別!此外,Android 4.1.1 版作業系統也會受到影響。趨勢科技表示,Heartbleed漏洞的危害遍及各類型的App,用戶應立即安裝可偵測Heartbleed漏洞的手機資安軟體,如趨勢科技的「安全達人」免費行動防護App等,並立即檢查已下載的App是否安全,才能避免個資或交易資訊被竊取。

趨勢科技資深技術顧問簡勝財表示:「 OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞稱為 Heartbleed  (心淌血) ,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料,而且完全不留任何痕跡。」Heartbleed漏洞對用戶造成的影響如下圖:

簡勝財進一步指出:「趨勢科技於上週揭露了Heartbleed漏洞後,一直持續監控中,我們發現目前有超過6000 多種 App 程式受到影響,而且遍及各種類型,尤其以『生活品味』和「娛樂」此兩種與消費者日常生活高度連結的App各佔13%為最大宗,為受波及的App類別中第一名!」

趨勢科技也發現,Android  4.1.1 版本的作業系統,也內含了有 Heartbleed  漏洞的 OpenSSL 程式庫。在這個作業系統的裝置上,任何使用 TLS 連線的 App 程式,不論伺服器或用戶端都可能受到影響,當遭到攻擊時,其裝置記憶體的內容就可能遭人讀取。因此,趨勢科技呼籲Android 4.1.1 版的用戶,應立即更新至其他版本。

簡勝財呼籲行動用戶,應立即安裝可偵測Heartbleed的行動防護軟體,並立即用資安軟體檢查已下載的其他App是否安全,才能避免個資或交易資訊被竊取。行動用戶可下載趨勢科技的免費「安全達人」行動防護App等,並立即按下「Heartbleed安檢」,執行以下檢查:

  1. 檢查用戶是否安裝了潛藏「心淌血」問題的行動應用程式App
  2. 檢查已安裝的行動應用程式App,是否會連結到有潛在風險的網頁伺服器(採用趨勢科技獨家「行動裝置應用程式信譽評等技術 」(Mobile App Reputation Service, MARS)

若偵測到會連線到Heartbleed漏洞網站的App,趨勢科技「安全達人」會跳出警告視窗,提醒用戶暫時不要執行該程式。

行動用戶可上Google Play搜尋「安全達人」,即可下載此免費App,立即保護自己行動裝置資訊安全,從此不再「心淌血」!