昨日,OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)被爆存在安全漏洞。利用该漏洞,黑客可多次盗取以https开头网址的用户登录账号密码,该漏洞波及电商网站、在线支付等领域。对此,安全专家已发布紧急预警,提醒各大互联网服务商尽快进行版本升级,修复该漏洞。
被此次漏洞波及的电商企业纷纷表示未受到影响,或已经修复处理完毕。阿里安全回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。
此外,据业内人士介绍受此次漏洞波及的另一领域是在线支付。但网银在线相关人员告诉新浪科技,其网站并未因OpenSSL漏洞而遭受太大影响,并且相关技术人员已经做好技术升级,目前网站运营正常。
我们建议:
1.注意观察相关事件进展,目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。
2.对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛。
3.如果随着事件进展,可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。安全专家的建议是,一个密码的使用时间不宜过长,超过3个月就该换掉了。
本周二根据安全公司赛门铁克公布的最新年度安全网络威胁报告称目前在移动市场上黑客攻击的主要目标依然为Android系统,在刚刚过去的2013年各种 应用商城(包括官方和第三方)成为各种恶意程序散播的集散地,成为威胁用户安全的最大隐患。此外在去年夏天的时候还出现了远程控制工具(RAT)的恶意程 序散播新方式,并在一段时间内Google Play商城上涌现了大量的恶意程序应用。
Android报告
此外在Android阵营中还有一些会伪装成为正义的应用程序。Android.Fakedefender就伪装成为恶意程序扫描程序,其实应用本身就是一个木马,能够监听用户的数据,在用户支付等操作的时候会数据进行篡取。
网友评论