最新的新聞資料顯示 Android 4.1.1 受到 heartbleed 影響,我特地去安裝 lookout 公司的 heartbleed detector,確認 Padfone 一代的 openssl 是有 heartbleed 問題的版本,且受影響的功能是開啟的,代表 Padfone 1 受到此 heartbleed 漏洞的安全威脅。
雖然 Padfone 1已超過一般18個月的更新週期,但是由於這是史無前例的漏洞,希望華碩能重視此問題,將此問題修正。
sansontsai wrote:
APP商店搜尋"安全...(恕刪)
http://www.ithome.com.tw/news/86890
從文章內容來看,對 Padfone 1應該是沒有用。它的功能是檢測哪些App是有內含受影響的openssl版本,但是對於OS的TLS所內含 openssl 本身就是受影響的時候,是每個使用 TLS 安全連線的 app 都會受影響。
也就是 OS TLS 內含的openssl是安全的版本時,安全達人能檢測 app 內含的openssl有問題的,使用者可以先停用這些 app,但是當 OS TLS內含的openssl是有問題的時候,任何一個app使用TLS (https) 連線,都會是危險的。所以文章最後有提到4.1.1的OS還是要儘快升級。
編輯補充:這篇(英文)文章的說法和我上述說法一致,補充貼上網址以供參考。
boy155112 wrote:
那麼樓主也覺得華碩會去更新變形金剛平板 TF101 嗎?如果不會,那 Padfone 也是啦!...(恕刪)
這次的問題和以往更新不同,以往的更新主要是OS升級、增加新app或修正app bug為主,所謂的18月更新週期是指這個。這次是OS安全性漏洞,事實上,去年還是有一般客戶透過電信商綁約買到Padfone 1,難道不用對這些客人的使用安全性負責?這些人去買一隻確定不會有升級OS,修正app軟體錯誤的手機,代表他能接受這些現實。但不代表他能接受他在使用手機時,會因為OS漏洞而有機密個資外洩的風險。app有問題,客戶可以不用,去google play找其它替代品,而OS安全性問題一般人完全無法自行處理。
以微軟XP的維護週期到今年4/8結束,但MSE(Microsoft Security Essentials)卻是持續為XP更新病毒碼到明年7月。和IBM OS/2 3.0有近30個修正版相比,微軟已經算是對修正版很小氣的公司了(史上最暢銷XP也只有到SP3),但是對安全問題卻是有做到仁至義盡。這次Padfone 1面臨的問題正是安全問題,這也是華碩第一款標竿變形手機,一個重視企業形象的公司,出個修正檔把 openssl heartbleed 問題解決掉,應該是基本動作,這裏不是要要求升級OS版本,而是只要修正openssl內的錯誤程式部分即可,OS仍可維持4.1.1,App也不變動。
我不清楚TF101是否也是4.1.1?以及也有heartbleed問題?若是,華碩也可一併出修正檔,更可以彰顯對產品使用安全性的負責態度。
換新機比較實在……。
我的Padfone是含鍵盤座,平常當手機+小筆電用的。正常使用中,只為了這個問題就得換,以後微軟Win8 OS萬一出現類似問題也叫你連筆電硬體一起換掉,你能接受嗎?
內文搜尋
從 APP 打開
X