即便被发现已经数周时间，Heartbleed漏洞所引发的问题依然余波未了。葡萄牙安全研究者Luis Grangeia日前发布了一份新的研究报告，描述了如何通过Wi-Fi利用相同的漏洞发起新形式的攻击。

据悉，这种攻击手段被称作是Cupid，步骤和之前并无变化，但传播方式是Wi-Fi而非互联网。Cupid可以从企业路由器当中窃取数据，或者使用受感染的路由器从相连的Android设备当中获取数据。无论是哪种方式，攻击者都可以从目标设备当中查看到工作内存的片段，用户的证书，客户端证书或私钥也因此存在暴露的风险。Grangeia已经发布了这个漏洞的概念验证，并在敦促厂商和管理员来升级自己的设备。

目前还尚不清楚有多少设备会受到该漏洞的影响，但它的破坏性相比Heartbleed应该非常有限。最易受到Cupid攻击的是使用EAP协议的路由器，后者是无线LAN经常会使用的解决方案，需要密码和独立登陆。在这些情况当中，攻击者可以使用Heartbleed从路由器或认证服务器当中获取私钥，从而有效绕过了任何的安全措施。Grangeia说，他还没有进行足够的测试以估算出易受攻击的路由器数量。更为重要的是，这种攻击只能在Wi-Fi范围内来选取目标，因此局限性非常明显。“这种特定的攻击类型解决起来可能更慢，”Grangeia说道，“但传播性不会达到Heartbleed的水平。”

外界的另一个担忧是依然运行着Android 4.1.1系统版本的Android设备，因为我们已经知道该版本易受到Heartbleed的攻击。在基于路由器的攻击当中，攻击者会提供一个公开的Wi-Fi信号，然后执行Heartbleed攻击来从任何相连的设备当中获取数据。这是一种新形式的攻击，会让更多的Android设备受到影响。从上个月的统计数据来看，依然有数以百万计的Android设备运行着4.1.1版本系统。虽然其中一些已经在漏洞曝光后进行了升级，但那些未能升级的依然会有受到攻击的风险。

这条消息也让我们清楚地认识到，安全领域依然还在逐步解决Heartbleed所造成的影响。即便在中央服务器进行了升级之后，研究者依然可以发现更多隐秘的攻击方式，受影响的目标也更加不明显。OpenSSL和TLS这些易受攻击的服务被大范围地使用，这也带来了更多的潜在目标。“网页和电子邮件是TLS的最大用户，但并不是唯一的，”哥伦比亚大学教授Steve Bellovin说道，“任何未被修复的实现方法都有可能受到Heartbleed的攻击。”大多数的现代系统已经升级到了可抵御Heartbleed的OpenSSL版本，但有人担心某些接入点依然未被修复。

至于Heartbleed会产生的更大影响，Errata Security创始人Robert David Graham预计，这个漏洞所造成的损害只被清理了一半。他暗示，Cupid可能是最不值得担心的。“在未来的几年里，我们将会看到更多重大的Heartbleed攻击。”