50%手机APP使用SSL协议 支付安全受威胁

50%手机APP使用SSL协议 支付安全受威胁

年度最高危的“心脏出血”安全漏洞不但影响网站安全，手机APP也难逃劫难。360手机安全中心最新统计发现，有50%的手机APP正在使用HTTPS安全传输协议，Google证实，在安卓4.1.1手机上存在相应漏洞问题。360手机安全专家表示，即使安卓系统无漏洞，这些使用了HTTPS协议的APP的服务器端信息仍有可能被黑客窃取。这将威胁手机登录所用的帐号密码等隐私信息，建议广大手机用户尽量设置不同密码、防止黑客窃取更多隐私信息。

Google近日发布公告证实安卓手机用户同样受到“心脏出血”安全漏洞的威胁。谷歌称安卓系统的4.1.1版采用了有漏洞版本的OpenSSL协议库，目前正在为合作伙伴准备修复安全补丁。这意味着，使用安卓4.1.1版本手机用户都将面临该漏洞的隐私被窃取的安全威胁。而根据4月初的数据统计，4.1.X版本占所有安卓系统版本市场占有率的34.4%。

360手机安全中心4月9日统计发现，有50%的手机APP使用了HTTPS协议，这其中包括手机广告插件类、手机支付类、社交分享类APP。这些APP中，有部分采用了有漏洞的OpenSSL库。360手机安全专家研究发现，黑客通过服务器同样可以反向窃取问题手机上的隐私信息，但具体的影响范围和深度目前仍需研究确认。

数据显示，OpenSSL漏洞爆发三天后，仍有28.1%的网站主机没有修复漏洞。根据360网站安全检测平台对国内120万家经过授权的网站扫描，4月8日共有18000多个网站主机存在漏洞。4月9日下午，有漏洞的网站主机数量下降到11000余个。截至4月10日中午，仍未修复漏洞的网站主机仍超过5000个。

“心脏出血”漏洞不仅影响网站安全，手机APP同样存在安全隐患。“用户登录app，与用户直接登录网站一样，都有可能将自己的账号、密码等实时登录信息暴露给攻击者，也会受到漏洞的安全威胁。”360手机安全专家表示。

360手机安全专家对此建议：尽量在不同APP下使用不同密码，防止黑客攻击了某个服务器之后，使用同一密码进入你的其他客户端，特别是支付类应用的密码一定要单独设置；同时安装360手机卫士等手机安全软件，检测手机及网络安全环境，防止被网络钓鱼。

鉴于OpenSSL漏洞波及范围广、影响恶劣，360互联网安全中心也已启动全方位防护方案，包括：一、360安全卫士、360安全浏览器、360极速浏览器等全线产品对仍未修复此漏洞的网站进行风险提示；二、开通24小时免费技术支持热线（4000366588），随时接受用户和各站长咨询；三、通知并协助受到漏洞影响的各大网站及时修复；四、推出OpenSSL漏洞检查工具（http://wangzhan.360.cn/heartbleed），网站站长和网友只需提交网址就能检测此网站是否安全。