近日, OpenSSL爆出一个“心脏出血”(Heartbleed)安全漏洞,是 2014年以来最严重的安全问题。大量使用 OpenSSL开源软件包进行https加密的网站和网银、在线支付、电子邮件等重要网络服务受到这个漏洞影响。
“心脏出血”漏洞实际上是 OpenSSL库中的一个编码漏洞。后者是一个开源的 SSL/TSL库,它的1.0.1-1.0.1f 以及1.0.2beta版在实现 SSL/TSL的心跳协议时存在编码漏洞。其中“心跳协议”是指为了确定网络服务端仍然“活着”,客户端向服务端发送特定的数据,服务端做出响应的过程。正常情况下,客户端发送的心跳请求包含什么数据,服务端就返回什么数据。但是利用“心脏出血”漏洞,客户端可以构造异常的心跳请求,诱导服务端返回服务器内存中最多高达 64K的额外数据,这些额外数据可能包含用户在网站上的登录账号、密码等信息。由于心跳协议在客户端和服务端处理逻辑是一样的,所以含有恶意的服务端同样可以利用此漏洞窃取客户端的数据。
Android系统大部分版本都使用了包含漏洞版本的 OpenSSL库,前者已经占到全球手机操作系统80%的份额,目前Google官方还没有正式推出针对OpenSSL“心脏出血”漏洞的更新。所幸相对于网站和网络服务,手机系统受此漏洞的影响较小。在小米手机和红米系列手机中,只有米 2受此漏洞影响。
经过MIUI安全中心工程师的努力,本周五MIUI团队正式推送系统更新,修复了此漏洞。而为了及时防堵“心脏出血”漏洞,MIUI在周二(4月15日)就开放了系统的灰度升级,并在周五(4月18日)完全开放了OTA更新包的下载,米2用户通过小米手机的“系统更新”功能升级至最新版本MIUI(稳定版 JLB33.0,开发版4.4.18 ),就可以确保手机不受“心脏出血”漏洞影响。据了解,到目前为止,小米是国内第一家也是唯一一家已修复此漏洞并发布更新的手机厂商。
据MIUI安全中心负责人介绍,此次快速修复“心脏出血”漏洞,背后是小米MIUI安全中心团队的共同努力。在系统安全方面,MIUI之前已经做了非常多的工作,比如它在操作系统底层就加入了严格的用户隐私和安全保护机制,对第三方应用有严格的权限控制系统;它还自带杀毒功能,与金山、腾讯、百度、LBE等多家安全厂商合作,提供手机内病毒查杀和防御功能;对于小米应用商店上架应用也设置了5道杀毒引擎过滤网,并同步进行人工审核。MIUI安全中心负责人建议用户及时更新系统,在获取更多功能的同时也能保证手机的安全。
此外,在Android系统或芯片厂商底层出现的漏洞,比如此次受到OpenSSL“心脏出血”漏洞涉及的Android系统,MIUI团队也与Google和芯片厂商保持着紧密联系,一旦有新的系统安全更新,MIUI会第一时间跟进。
随着智能手机的日益普及,手机安全和用户隐私越来越受到受到挑战。MIUI从发布至今,保持了每周五更新的快速开发节奏。正是这种小步快跑、快速迭代的开发模式,让 MIUI能够及时响应重大安全问题。这种快速响应能力也使得小米成为国内首家修复 OpenSSL“心脏出血”漏洞的手机厂商。MIUI作为一个“活的手机系统”,将更能保证手机的安全。
