Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство

Некоторое время назад эксперты обнаружили в пакете OpenSSL, использующемся для шифрования данных, критическую ошибку. Суть заключается в следующем: когда клиентское приложение связано с сервером, оно периодически отправляет на него запросы, чтобы убедиться в том, что соединение по-прежнему не разорвано. Эта функция называется «Heartbeet», или по-нашему «сердцебиение». В ответ на такой запрос, сервер отправляет некоторый пакет данных клиенту. Но, как оказалось, некоторые версии библиотеки OpenSSL, установленные на серверах, удовлетворяют даже некорректные клиентские запросы, и высылают в ответ фрагмент из оперативной памяти объемом до 64 кбайт. Отсюда название ошибки – «Heartbleed» («кровоточащее сердце»).

Heartbleed Detector на Android

В таком фрагменте памяти, само собой, могут находиться данные вовсе не предназначенные клиентской стороне. Например, логины и пароли пользователей, недавно подключавшихся к серверу, или ключ шифрования, использующийся для шифрования соединений.

Эксперт в вопросах криптографии Брюс Шнайер написал о найденной ошибке буквально следующее:

«Катастрофа — вот верное слово. По шкале от 1 до 10 — это 11»

Специалисты также заявляют, что и Android-устройства подвержены этой уязвимости. Но у нас есть возможность проверить наши аппараты, компания Lookout, занимающаяся мобильной безопасностью, выпустила приложение Heartbleed Detector, которое сообщит вам, есть ли угроза конкретно для вашего устройства. К счастью, приложение бесплатное, так что скачавшим не грозит установка пустышки за 4 доллара, как некоторым.

Впрочем, приложение и не отличается широким функционалом. Оно только проверит версию OpenSSL вашего гаджета и, если это версия, содержащая ошибку, — cообщит, включен ли Heartbleed. Иными словами, у приложения есть три варианта, как оно может выглядеть: либо ваша версия пакета шифрования не содержит ошибку, либо содержит, но уязвимость не активна, либо «все плохо, хватайся за голову, бегай, размахивай руками и кричи».

Heartbleed DetectorHeartbleed DetectorHeartbleed Detector

В случае, если устройство под угрозой, приложение не сможет предложить вам решение, как и не скажет, посещали ли вы сайты или использовали ли приложения, работающие на забагованной версии OpenSSL.

Прежде чем начать ускоренное поседение, волнуясь за конфиденциальность своих данных, стоит узнать, что Google заверила, что Android имеет иммунитет к Heartbleed, кроме версии 4.1.1, патч для которой в настоящее время распространяется Android-партнерам. Так что если ваш смартфон работает именно на этой версии ОС, стоит периодически проверять обновления. Но, опять же, спокойствие, только спокойствие. Ведь сама Lookout сообщает, что до сих пор не нашла ни единого случая использования уязвимости на мобильных устройствах.

Тем не менее, осведомлен – значит вооружен. А вы проверили свои устройства? Какие результаты?

Приложение: Heartbleed Detector
Разработчик: Lookout Mobile Security
Категория: Инструменты
Версия: 1.0
Цена: Бесплатно
Скачать: Google Play
Теги
Читайте также
Разработчики Google рассказали, что будет нового в Android 12

Не знаю, как так получилось, но почему-то утечки о предстоящих новинках Apple всегда вызывали больший интерес, нежели всё, что связано с Android. Даже малейшее нововведение iOS 14 вроде функции оплаты по QR неизменно провоцировало живую реакцию аудиторию. Видимо, сказывались фанатские пристрастия многолетних поклонников Apple, тогда как у Android таковые если и есть, то явно в меньшем количестве. Другое дело, что не рассказать о возможных нововведениях Android 12, о которых сообщили члены команды разработки, мы просто-напросто не могли.

Читать далее
Использование мобильных приложений в мире выросло на 40%. Каких и почему

Каждый год популярные магазины приложений отчитываются о росте интереса со стороны пользователей. Обычно это происходит постепенно, но в последнее время наметился взрывной рост, который удивил многих, а заодно кое-что рассказал о пользователях в мире. Возможно, вы уже догадались из-за чего так получилось, но не спешите делать выводы. Тем более, данная статья ответит не только на вопрос ”Почему?”, но и расскажет, как такое вообще получилось, в каких странах самые большие изменения и что все это говорит о пользователях и их привычках. Интрига подвешена, теперь можно и продолжить рассказ.

Читать далее
Почему приложения для Android выгружаются и не присылают уведомления

Android, кто бы что ни говорил, - операционка очень продуманная и функциональная. Даже если Google периодически подворовывает у iOS те или иные нововведения, это совсем не значит, что у неё нет своих уникальных наработок. На самом деле их довольно много, просто большая часть механизмов, которые обеспечивают комфортную и стабильную работу смартфонов, делают это в пассивном режиме. Ведь лучший механизм - тот, которого не видно. Правда, иногда производителям начинает казаться, что они умнее Google. Тогда они начинают делать лучше и, к сожалению, всё ломают.

Читать далее

5 комментариев Оставить свой

  1. Егор Монахов

    Вухууу, я не заражен =)

  2. miha_style

    У меня второй вариант «содержит, но уязвимость не активна» ? Я так понял можно особо не переживать ? Или что?

Новый комментарий