趨勢警告Heartbleed臭蟲也會影響App使用安全

趨勢科技發表資安警告，OpenSSL上的Heartbleed臭蟲不只影響網站服務安全，也可能連帶影響與網站服務連線的行動應用程式安全。

趨勢指出，在Alexa排名前10000個網站裡就有600個可能受到此臭蟲影響，涵蓋Yahoo、Flickr、OKCupid、Rolling Stone等等，而由於行動程式會連結伺服器、網頁執行功能，也因此可能受到Heartbleed的影響。

趨勢科技行動威脅分析師Veo Chang在部落格發文向大眾提出警示表示，以程式內購買為例，使用者輸入信用卡購買遊戲，信用卡資料將會留存在負責交易的伺服器上，這時駭客利用Heartbleed漏洞攻擊伺服器取得卡號資料。即使沒有使用程式內購買，信用卡資料不會被竊取，但還是會連到網路伺服器，同樣難逃被影響的可能性，若行動程式要求到社交網站按讚，這時使用者的社交網路就有可能受到漏洞的影響。

趨勢檢查了一些熱門應用程式，發現漏洞的存在，實際掃描Google Play上39萬個程式，約1300個會連到有漏洞影響的伺服器，其中包括15個銀行相關應用程式，39個線上支付交易、10個與網路購物相關，還有受到大眾歡迎的熱門程式，像是行動通訊軟體、鍵盤輸入工具、健康管理及行動支付類軟體。

Veo Chang表示，因Heartbleed屬伺服器後端漏洞，故前端的消費者能做的不多，消費者可以改變密碼，但若是程式開發者、網頁服務供應商沒有解決問題，更換密碼就沒有用。建議消費者暫停程式內購買或線上金融交易如網路銀行服務，等到開發者或網頁服務供應商解決問題再使用。