黑莓表示,計劃于周五發(fā)布Android和iOS版BBM消息應用的安全更新,以解決與OpenSSL“心臟流血”漏洞相關的信息安全威脅。
上周,研究人員表示,被廣泛應用的OpenSSL軟件存在“Heartbleed”漏洞,這有可能導致黑客秘密竊取敏感的用戶信息。這一漏洞最初被認為主要存在于一些網站,隨后信息安全專家警告稱,數(shù)據中心和運行Android和iOS系統(tǒng)的移動設備同樣可能存在問題。
黑莓高級副總裁斯科特·托茲克(Scott Totzike)周日表示,盡管黑莓的大部分產品并未使用存在漏洞的軟件,但黑莓需要升級兩款被廣泛使用的產品:Android和iOS版BBM消息應用,以及Secure Work Space企業(yè)電子郵件服務。
他表示,如果用戶通過WiFi或運營商網絡使用這些軟件,那么有可能受到黑客攻擊。不過他表示,“風險等級很低”,因為黑莓的信息安全軟件使得黑客很難在攻擊中成功獲取數(shù)據。“這將是非常復雜的攻擊,只有在很短的時間窗口內才能完成。”而在黑莓發(fā)布此次安全更新之前,用戶繼續(xù)使用這些軟件也是安全的。
谷歌和蘋果公司均未對此消息置評。
信息安全專家表示,由于使用了OpenSSL代碼,其他一些移動應用也存在類似問題。Lacoon Mobile Security的CEO邁克·紹洛夫(Micahel Shaulov)表示,他懷疑,除黑莓之外,其他移動設備管理應用也容易受到攻擊,因為這些應用通常均使用OpenSSL代碼。
他表示,移動應用開發(fā)者目前仍有時間去確定哪些產品存在漏洞,并及時修復漏洞。“黑客需要幾星期甚至幾周的時間,才能從‘概念驗證’發(fā)展至實際對設備的攻擊。”
科技公司和美國政府正認真對待這一安全威脅。美國聯(lián)邦政府官員周五警告稱,銀行和其他企業(yè)有可能因這一漏洞遭到黑客攻擊。包括思科、惠普、IBM、英特爾、Juniper、甲骨文和紅帽在內的公司均提示客戶,可能遭遇風險。一些公司已發(fā)布了安全更新,而包括黑莓在內的另一些公司則在加速發(fā)布更新。
目前尚沒有公開報道顯示,黑客利用“Heartbleed”漏洞進行了成功的攻擊,但研究人員指出,這一漏洞的存在已有幾年時間。這意味著,黑客有可能成功利用這一漏洞同時沒有被發(fā)現(xiàn),因為這樣的攻擊不會留下任何痕跡。