在安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)了“心臟流血”(Heartbleed)漏洞，并提交給相關(guān)管理機構(gòu)整整7周后，這一漏洞似乎依舊在給人們制造問題。據(jù)葡萄牙互聯(lián)網(wǎng)安全研究人員劉易斯-格蘭吉亞(Luis Grangeia)透露，黑客可以利用這一漏洞通過Wifi展開類似的攻擊行為。

[[113717]]

據(jù)悉，格蘭吉亞所發(fā)現(xiàn)的新型攻擊形式被稱為“Cupid”。“Cupid”的攻擊步驟與“心臟流血”完全一致，只不過前者主要利用的不是開放Web，而是WiFi網(wǎng)絡展開攻擊。比如，該漏洞允許黑客截取Android設備和路由器之間的通信數(shù)據(jù)。同時，黑客也能夠獲悉目標設備存儲在內(nèi)存上的部分信息，因此而有可能導致用戶的個人認證憑證、個人信息遭到泄露。

目前，格蘭吉亞已經(jīng)針對自己的發(fā)現(xiàn)發(fā)布了一份研究報告，并敦促設備供應商和網(wǎng)絡管理方盡快升級自己的現(xiàn)有設備。

到目前為止，我們尚不清楚有多少設備會受到這一漏洞的影響，但相信“Cupid”所造成的負面影響要比“心臟流血”減輕許多。分析人士認為，最有可能遭遇類似漏洞入侵是那些采用可擴展認證協(xié)議(EAP)的路由器，這類路由器通常需要用戶名和密碼才能夠正常工作，但這一漏洞卻可以利用“心臟流血”漏洞繞過這一安全機制。

格蘭吉亞所擔心的另一個方面是，目前運行Android 4.1.1的設備也面臨著遭受“心臟流血”漏洞的影響。比如，黑客可以利用這一漏洞架設一個公開的Wifi網(wǎng)絡，一旦用戶手機連接了這一網(wǎng)絡后，黑客便有可能從設備中讀取數(shù)據(jù)?？梢钥隙ǖ氖?，雖然許多用戶已經(jīng)在“心臟流血”漏洞最先被披露的時候升級了系統(tǒng)，但目前仍然有數(shù)百萬之巨的Android設備運行著該操作系統(tǒng)。

備注：Heartbleed(心臟流血)漏洞：今年4月初，安全公司Codenomicon的工程師安蒂·卡加萊能(Antti Karjalainen)在正常的工作時，卻偶然發(fā)現(xiàn)了互聯(lián)網(wǎng)史上最大的安全漏洞——Heartbleed(心臟流血)漏洞。Heartbleed漏洞影響了被廣泛使用的開放源代碼SSL安全套件OpenSSL的加密協(xié)議。簡言之，這個漏洞可以誘使服務器將其內(nèi)存中的數(shù)據(jù)溢出來，從而可能讓黑客掌握這一漏洞，并進一步竊取諸如信用卡和密碼等之類的敏感信息。