重大漏洞Freak现身,危及安卓苹果(C)

问题描述

安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。该漏洞被称为“疯怪”(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它,攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户。问题起源于美国在上世纪90年代早期施行的出口限制政策,它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后,由于有些软件仍旧依赖于旧版加密协议,出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级”,从而使其易于攻破。很多谷歌和苹果的产品,以及嵌入式系统都使用OpenSSL协议,这些服务器和设备都将受到威胁。使用RSA_EXPORT加密套件的设备均有风险,疯怪(FREAK)漏洞的名称正取自于“RSA_EXPORT素数攻击”的英文首字母(Factoring attack on RSA-EXPORT Keys)。攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。!(http://img0.tuicool.com/BJZR7z.jpg)当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者利用公有云服务将很容易破解这些短密钥。上世纪90年代,破解512位密钥需要大量计算;如今利用亚马逊弹性计算云,则只需要大约7小时,花费100美元。企业在修补漏洞方面动作迅速。苹果和谷歌均表示,已经开发了补丁,并将很快向用户推送。CDN服务商Akamai公司的负责人表示,已经对其网络进行修补,但是很多客户端仍**在风险中。“我们没办法修补客户端,但是我们可以通过禁用‘出口级’密码来解决该问题。这个漏洞的起源在客户端,我们已经在和客户联系,让他们进行变更了”。该漏洞由微软研究院和法国国家信息与自动化研究所共同发现。关于疯怪漏洞的学术论文将在今年五月份举行的IEEE安全与隐私会议上发表。

时间: 2024-11-23 21:32:03

重大漏洞Freak现身,危及安卓苹果(C)的相关文章

谷歌独立运营摩托罗拉移动不会危及安卓开放性

飞象网讯(编译 文慧)据国外媒体报道,互联网搜索巨头谷歌公司的董事长兼首席执行官埃里克·施密特(Eric Schmidt)周二表示,谷歌承诺继续向其手机制造合作伙伴免费提供其安卓移动操作系统. 施密特在访问韩国是表示,谷歌即将收购摩托罗拉(微博)移动控股公司(MotorolaMobilityHoldingsInc.)一事将不会影响它与使用其安卓软件的制造商之间的合作关系. 施密特在新闻发布会上表示:"我们将独立运营摩托罗拉公司,因此它不会危及安卓的开放性." 今年8月份,谷歌宣布计划斥

html app 安卓 苹果-如果做一个html页面通过app来访问,怎么样使app的显示能够同时适配在安卓和苹果系统?

问题描述 如果做一个html页面通过app来访问,怎么样使app的显示能够同时适配在安卓和苹果系统? 如果做一个html页面通过app来访问,怎么样使app的显示能够同时适配在安卓和苹果系统? 解决方案 可以使用bootstrap来构建你的web app.它支持响应式布局,是开发现代化web的好框架. 解决方案二: 有没有其他方式呢?我不会bootstrap啊 解决方案三: jquery mobile 可以 解决方案四: <!doctype html> 武当七侠 武当七侠 2015-07-17

骁龙芯片存严重安全漏洞 超十亿安卓手机面临威胁

本文讲的是 骁龙芯片存严重安全漏洞 超十亿安卓手机面临威胁,超过十亿安卓设备搭载的骁龙芯片存在严重漏洞,黑客可通过任意恶意软件获取设备 Root 权限. 趋势科技公司的安全研究人员对安卓用户发出警告称,高通骁龙芯片中内核级编程的一些部分存在严重漏洞,攻击者可以利用其获得 Root 权限,进而完全控制设备. 获取设备 Root 权限是个值得关注的问题,攻击者可以获得管理员级的权限,使用你的设备对付你:操控摄像头拍照.窥探账户密码.电子邮件.短信.照片等个人信息. 高通官方网站上的信息显示,骁龙芯片

致命漏洞将允许攻击者绕过苹果的OTR签名验证并窃取iCloud钥匙串信息

致命漏洞将允许攻击者绕过苹果的OTR签名验证并窃取iCloud钥匙串信息 背景内容 在分析iOS平台上与沙盒逃逸有关的攻击面时,我们在iCloud钥匙串同步功能的OTR实现中发现了一个严重的安全漏洞. iCloud钥匙串同步功能允许用户以一种安全的方式跨设备共享自己的密码.该协议与其他跨设备密码共享机制(例如谷歌Chrome的密码同步功能)相比,安全性有显著的提升,因为它所采用的端到端加密使用了设备绑定型(device-specific)密钥,而这种加密方式能够显著提升iCloud钥匙串同步机制

2015年被发现安全漏洞最多的公司竟是苹果?

随着2016年的到来,也让我们回顾一下过去一年CVE上安全漏洞的情况. 关于CVE 无论是独立安全研究人员,还是网络安全公司,甚至各种软件厂商,都在积极研究分析自家的或者是其他产品的安全性能,而当发现某处存在潜在的安全漏洞时,按照一般流程,会先提交给CVE编辑部,由CVE编辑部对漏洞实际情况进行分析,最后经过CVE 编辑部的核实,该潜在安全漏洞便可成为一个CVE条目并随着它的编号正式公布在网站上.从而形成了一个权威的CVE"字典表",我们可以在其中找到相应的安全问题的解决方法. 而这些

WiFi杀手漏洞来袭 可致安卓设备被远程攻击

近日,阿里安全研究实验室在研究WiFi协议时发现了一个重大漏洞,并将其命名为"WiFi杀手".这是自安卓面世以来,第一个与WiFi相关的大范围远程攻击漏洞.漏洞发现后,阿里安全研究实验室第一时间将"WiFi杀手"漏洞的相关细节提交给了谷歌,谷歌及时通知了安卓系统wpa_supplicant组件的开发厂商.今日凌晨,该组件开发者公告称漏洞已修复. 据悉,研究者发现安卓系统的WiFi功能组件wpa_supplicant(支持无线连接认证的软件)存在缓冲区溢出,导致具有W

几十个字符的漏洞利用代码 即可绕过苹果系统的安全机制

苹果最新发布的 OS X 10.11.4 和 iOS 9.3 更新中,一个权限提升的漏洞补丁是无效的,导致1.3亿苹果用户面临黑客攻击的危险.     这个权限提升漏洞是上周曝出的,存在于苹果流行的"系统完整性保护"(SIP)安全机制中,影响所有版本的 OS X 操作系统.事后苹果紧急发布补丁,补上了大部分系统中的漏洞,但在上述两种系统中SIP还是可以被绕过,并被用来远程劫持用户的设备. 德国的一位安全研究者,Stefano Esser,于3月28日在推特上发布了一段只有几十个字符的漏

阿里云王坚:要做手机就比肩安卓苹果

[搜狐IT消息]时至今日,几乎 所有人都 认为,阿里巴巴在手机端的布局已经泯然众人矣--无甚创新,甚至在小米.360.盛大.百度.网易等的包抄下,显得略微的沉闷和保守. 但是马云和阿里手机计划掌舵者的野心是不是就仅仅止步于与小米.奇虎之流抗衡呢?当然不是,这家最喜欢在新闻稿中提及"生态系统"的公司,依然没有泯灭其重构手机生态系统的野心,期望成为可以比肩苹果.安卓平台外的第三种力量.当然,这一切很难.在过去两年中,阿里云的领导者王坚不仅背负了来自市场的"骂名",甚而面

狂野飙车8游戏闪退黑屏无法运行(安卓/苹果)

狂野飙车8IOS版解决闪退的方法: 1.首先是要使用IFILE,ITOOLS或者第三方插件打开文件 2.进入这个找到Asphalt8/library文件夹 3.删除里面的preferences文件夹 4.在点击游戏图标,试试是否成功 5.游戏需要IOS5.0以上版本,请检查自己手机(IPAD)版本是否是5.0以上的版本 狂野飙车8安卓版解决闪退的方法: 1.可能是由于没安装谷歌商店和Google服务框架,用户需要重新安装谷歌框架来解决闪退问题 2.打开游戏界面一直在转圈圈或退出,是因为游戏需联网