OpenSSL曝出“心臟流血”(Heartbleed)安全漏洞已有一個星期。盡管不少企業(yè)已為該漏洞發(fā)布補(bǔ)丁修復(fù)，但仍有像是運(yùn)行Android 4.1.1系統(tǒng)這樣數(shù)億計的龐大手機(jī)用戶群體面臨著“心臟流血”的風(fēng)險。OpenSSL 于4月7日公布了“心臟流血”漏洞，同天也為該漏洞給出了修復(fù)補(bǔ)丁。然而，運(yùn)行Android 4.1.1操作系統(tǒng)的平板電腦和智能手機(jī)仍有數(shù)億臺，這些設(shè)備仍然曝露在OpenSSL的漏洞之下。根據(jù)谷歌公布的數(shù)據(jù)，于2012年中期發(fā)布的 Android 4.1 Jellybean系統(tǒng)，目前仍占到其9億Android用戶的三分之一以上。

[[111550]]

雖然谷歌強(qiáng)調(diào)只有不足10%的激活設(shè)備容易受到“心臟流血”漏洞的攻擊——這仍然意味著有成百上千萬用戶眼下正處于無保護(hù)狀態(tài)。

“設(shè)備生產(chǎn)商及運(yùn)營商們現(xiàn)在需要做些什么以避免漏洞被利用，但這一過程通常是漫長的。”安全機(jī)構(gòu)Lacoon Security聯(lián)合創(chuàng)始人兼CEO邁克爾·邵洛夫(Michael Shaulov)表示。

截至目前，黑客的進(jìn)攻目標(biāo)基本為使用OpenSSL協(xié)議的服務(wù)器站點(diǎn)，還沒有任何個人終端設(shè)備被列為目標(biāo)——因為發(fā)起這樣的攻擊需要進(jìn)行較繁重的工作，而成果則只能是獲得某一部設(shè)備上的單個用戶的信息。

但不管怎樣，填補(bǔ)漏洞避免被攻擊仍然是最首要的任務(wù)。譬如黑莓就已明確表示要為其Android版及iOS版BBM應(yīng)用和Secure Work Space企業(yè)郵件應(yīng)用提供“心臟流血”補(bǔ)丁。