4 月 14 日,据路透社报道,黑莓公司今日宣布,它们计划在本周五前发布安卓和 iOS 版 BBM 通讯软件的安全更新,来消除“心脏流血”(Heartbleed)漏洞带来的潜在威胁。
上周,研究人员称,他们发现了寄生于 OpenSSL 软件中的安全漏洞 Heartbleed。Heartbleed 漏洞可以盗走用户大量隐私信息,且不留任何蛛丝马迹。研究人员起初警告企业要防范其网站上的安全漏洞。随后,他们又提醒,Heartbleed 在数据中心和运行安卓和 iOS 移动系统的设备上也可能带来潜在威胁。
黑莓高级副总裁斯科特·托兹克(Scott Totzke)周日在接受采访路透社采访时表示,尽管黑莓产品并没有使用易受攻击的软件,但该公司还是有必要更新两款被广泛使用的产品:Secure Work Space 企业电子邮件和安卓和 iOS 版 BBM 通讯软件。
托兹克表示,如果黑客通过 WiFi 连接或者运营商网络进入这两款软件,它们就会面临被攻击的危险。不过,他表示,这种风险发生的可能性非常小,因为黑莓安全技术的存在,黑客很难盗取用户数据。此外,托兹克还表示,在更新发布以前,用户仍可以继续放心使用这两款应用。
安全专家表示,其他移动应用因为使用了 OpenSSL 编码,因此也面临着潜在风险。Lacoon Mobile Security 公司首席执行官 Michael Shaulov 表示:“在移动设备管理领域,跟黑莓存在竞争关系的其他应用软件也有可能面临 Heartbleed 安全漏洞,因为它们使用了 OpenSSL 编码。”
他表示,移动应用开发商有时间来弄清楚到底是哪一款产品存在安全漏洞,并赶快做出修补。“黑客从‘概念验证’到设备攻击,可能还需要数周,甚至一个月时间。”Shaulov 表示。
在 Heartbleed 安全漏洞曝光以后,科技公司和美国政府对比都比较重视。周五,联邦官员提醒银行和其他企业要警惕黑客攻击,防止数据泄露。思科、惠普、IBM、英特尔、甲骨文等公司也都提醒了消费者,他们可能面临风险。有些公司已经发布更新,有些公司,比如黑莓正积极准备着。
目前,还没有涉及借助 Heartbleed 漏洞成功攻击的公开报道,但研究人员表示,这种安全漏洞已经存在了好几年,这也就意味着,黑客可能已经利用 Heartbleed 漏洞进行了攻击,只是没有被发现而已,因为这类攻击是不留任何痕迹的。