OpenSSL漏洞波及手機 安天推出檢測插件

新浪科技訊 4月11日消息，OpenSSL“心臟出血”漏洞的嚴重性遠比想象的嚴重。一些用戶沒有考慮到，手機上大量應用也需要賬號登錄，其登錄服務也有很多是OpenSSL搭建的，因此在漏洞沒有修補好之前，用手機登錄過網銀、網購等重要賬號極容易導致用戶賬戶信息丟失。需要在漏洞修補后及時更改密碼。

安天旗下AVL移動安全團隊在“漏洞”消息爆出后，迅速對主流的網銀、網購、證券、航旅軟件的登錄入口進行了安全檢查，發現這個漏洞廣泛影響到了多個應用，並尚有廠商未完成修補，除此之外，還發現一些手機應用不使用加密協議登錄，這對於用戶也是一個極為嚴重的風險。這是因為手機由於經常連接Wi-Fi，而當前釣魚Wi-Fi廣泛存在，無線Sniffer也大行其道。即使是家中的無線WiFi也不安全，此前有新聞報導，中國目前已經有數百萬台無線路由器，遭到了入侵和控制。這都會導致明文協議傳輸的賬戶密碼被攻擊者很容易獲取到。

針對“心臟出血”和其他不使用加密協議登錄的手機APP，安天今日緊急為其手機安全專業檢測分析工具AVL Pro添加了一個登錄漏洞檢測插件。該插件可以檢測用戶手機上的應用是否存在登錄安全問題，包括登錄入口的漏洞尚未修復、使用明文協議登錄認證的問題。用戶安裝之后，可以看到不同應用是否存在登錄驗證的風險。

安天移動安全團隊負責人潘宣辰表示，漏洞檢測具有較強的實時性，建議用戶及時更新檢測插件和庫，定期掃描，確認最新的應用登錄安全狀態。在漏洞問題完全修補之前盡量不要使用相關APP，對近期登錄過網銀、交易等重要站點的網民，應該在登錄檢測已經提示安全后，及時更改自己的密碼。AVL Pro的這個插件同時也會告知你手機上哪些應用使用不加密的登錄協議，在公共WIFI要盡力避免使用這些應用。

目前登錄漏洞檢測插件還不是AVL Pro的預設插件，需要安裝AVL Pro后，到設置/插件管理中去下載。也可以在安裝AVL Pro后，通過URL或者二維碼下載安裝插件，AVL Pro上就會有登錄漏洞檢測功能。

下載AVL PRO

http://cdn.update.avlyun.com/AvlPro/avlpro.apk

登錄漏洞檢測插件手工下載地址，注意：需要先安裝AVL PRO，否則插件無法使用

http://cdn.update.avlyun.com/AvlPro/1006.apk