新闻链接：http://www.seehand.com/news/538.html
   新闻时间：2015.03.30
   新闻正文：

据一个安全供应商表示，数以百计的安卓的iOS应用程序仍然处于危险之中，可能遭受到两周前就被披露的能够感染破坏加密数据的FREAK漏洞攻击。

这些应用程序还没有针对FREAK漏洞攻击进行修复，FREAK是针对RSA-EXPORT键的保理攻击的简称，这个FREAK漏洞在3月3日被研究人员发现并披露。

据计算机安全专家FireEye公司在一篇博客文章中称，这些未被修复的应用程序还没有被确认，按类别分的话，包括金融、通信、购物、商业以及医药。

研究结果发现，甚至一些最广泛的和最严重的安全漏洞都需要相当长的一段时间来修复。这会导致使用开发者没有及时修复安全漏洞的应用程序的用户长期暴露于安全风险之中。

研究人员在本月早些时候披露称，许多软件和浏览器都面临受到FREAK漏洞攻击的风险，FREAK漏洞可以允许SSL/TLS加密密钥被降级至512位，这比现今普遍使用的2048位密钥更加脆弱，易于被破解。

这个安全漏洞是美国政府在1990年代出口限制政策的后遗症，根据当时的出口限制政策，禁止将高安全性加密密钥的软件产品售卖至美国境外。这导致许多产品仍然被迫使用安全性较弱的密钥，这些密钥可以通过在公共云服务上运行数学软件即可破解。

FREAK漏洞的独特之处在于，各种各样的产品都需要升级来修复解决这个问题。苹果公司和谷歌公司已经修复了他们的移动操作系统。但是仍然有许多这些设备所兼容的应用程序也应当被修复升级。FireEye公司研究发现截至上周，仍然有许多应用程序还没有被及时修复。

FireEye公司经过分析10985个应用程序后发现，Google Play谷歌应用商店里有1228个安卓应用程序仍然是没有被修复的，可能受到FREAK漏洞攻击。所有的这些应用程序都已经被下载了超过一百万次。在这些容易受到FREAK漏洞攻击的应用程序中，有664个使用了安卓系统捆绑的OpenSSL库，而其余的应用程序都有自己编译的OpenSSL版本。

OpenSSL是一个广泛使用的开源软件包，用于SSL/TLS连接。这个软件已经在去年被发现了几个严重的安全漏洞后经历了严格的审查，这些安全漏洞包括Heartbleed漏洞、POODLE漏洞以及FREAK漏洞。

而iOS系统方面，FireEye公司表示，虽然大部分情况下，只有当用户运行已经被修复的8.2之前的版本时，才可能有FREAK漏洞安全风险，FireEye公司分析过的14079个应用程序中有771个是没有被修复的，是可能受到FREAK漏洞攻击的。仅有7个应用程序在运行iOS8.2版本时依然面临遭受FREAK漏洞攻击的风险。

FireEye公司表示，FREAK漏洞攻击给移动应用程序造成了严重的安全和隐私威胁。我们希望应用程序开发者以及网站管理员尽快修复这个安全漏洞，解决这个问题。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课