赛门铁克解析Heartbleed漏洞对用户及“物联网”的潜在威胁

当前业界对于Heartbleed漏洞的关注点大部分都聚焦在那些易受攻击的公共网络上，但实际上，其所造成的损害，绝不仅限于此。赛门铁克认为，虽然现在大多数主流网站的安全措施已经相对完善，但这并不意味着终端用户可以高枕无忧了。

Heartbleed对于客户端软件及硬件服务器的潜在威胁

因为Heartbleed可能会影响到很多客户端软件，包括网络、邮件、聊天工具、FTP、移动应用、VPN、甚至软件升级工具等等，都可能会面临Heartbleed的威胁。简单来讲，任何通过有漏洞的OpenSSL（开放源代码的安全套接层），或使用SSL/TLS安全协议进行通讯的客户，都有可能会遭到网络攻击。另外，Heartbleed不仅会对网页服务器造成威胁，同时还会威胁到其他很多类型的服务器的安全，其中包括代理服务器、介质服务器、游戏服务器、数据库服务器、聊天服务器以及FTP服务器等。总之，该漏洞可以对几乎所有硬件设备带来安全威胁，例如 路由器、程控 交换机（商务电话系统）以及通过“ 物联网”联接的各类设备。

解析利用Heartbleed漏洞的主要攻击方式

通过Heartbleed漏洞对软件及硬件服务器进行攻击的方式，与针对有漏洞的网站所发动的攻击方式类似。 然而，其针对用户进行攻击的方式，则有两种完全不同的路径。一般来讲，利用Heartbleed发动的攻击通常是被感染的用户发送病毒到安全防护措施不足的服务器，随后服务器上的隐私信息遭到泄露。然而，一种完全相反的攻击路径也可以奏效。安全意识薄弱的用户连接至服务器之后，服务器会发送恶意的Heartbeat信息给该用户，从而窃取用户内存中存储的大量信息，其中很有可能包括一些认证信息或其他用户的隐私数据。

图片 1.Heartbleed既可以直接攻击服务器，也可以反过来将安全意识薄弱的用户作为突破口