全球逾六成網站採用的互聯網加密技術OpenSSL,近日爆出名為心淌血(Heartbleed)的漏洞,據報漏洞潛伏兩年,黑客可藉此踏雪無痕竊取用戶密碼等資料,令互聯網陷竊密危機。全球數以億計的Android手機及平板電腦用戶,亦面臨被黑客入侵的風險,資料被盜也懵然不知。

據OpenSSL函數庫本月七日公布心淌血漏洞,稱黑客可藉此繞過網站的安全協定,每次盜取網站伺服器的暫存記憶體內64KB大小的加密資料,包括金鑰加密、用戶名稱及密碼、個人財務資料、通訊內容,甚至破解防火牆等網絡安全措施。至前日,美國多間大型科技公司宣布,旗下生產的路由器等網絡硬件,均有心淌血危機。

4.1.1系統中招

Google上周三稱,Android系統中僅得前年推出的4.1.1版本受心淌血影響。由於目前全球約三億用戶手機和平板電腦使用4.1各個版本,受影響人數可能數以億計。專家指,八成的4.1.1用戶已受影響;由於用戶須自行更新系統版本,因此難以杜絕心淌血問題。蘋果公司及微軟前日仍未回應旗下的智能手機及平板電腦有否受影響。

心淌血肆虐於前年三月起推出的OpenSSL 1.01至1.01f版本,惟至近日始被發現。數據顯示全球約三分二網站,均用SSL加密,被盜資料用戶數量難以估算。Google、雅虎等各大網絡公司已紛紛推出安全更新填保漏洞,並呼籲用戶更改密碼。美國政府前日向銀行及商業機構發出警告,指注意黑客利用漏洞犯案。

德國程式員澤格爾曼(Robin Seggelmann)前日承認,兩年前編寫OpenSSL時犯下錯誤,加上另一程式員檢查時未能發現,導致心淌血出現。Google網絡安全人員及一間芬蘭網絡安全公司近日分別發現漏洞,向OpenSSL函數庫匯報,心淌血才曝光。