Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство

Некоторое время назад эксперты обнаружили в пакете OpenSSL, использующемся для шифрования данных, критическую ошибку. Суть заключается в следующем: когда клиентское приложение связано с сервером, оно периодически отправляет на него запросы, чтобы убедиться в том, что соединение по-прежнему не разорвано. Эта функция называется «Heartbeet», или по-нашему «сердцебиение». В ответ на такой запрос, сервер отправляет некоторый пакет данных клиенту. Но, как оказалось, некоторые версии библиотеки OpenSSL, установленные на серверах, удовлетворяют даже некорректные клиентские запросы, и высылают в ответ фрагмент из оперативной памяти объемом до 64 кбайт. Отсюда название ошибки – «Heartbleed» («кровоточащее сердце»).

Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство. Фото.

В таком фрагменте памяти, само собой, могут находиться данные вовсе не предназначенные клиентской стороне. Например, логины и пароли пользователей, недавно подключавшихся к серверу, или ключ шифрования, использующийся для шифрования соединений.

Эксперт в вопросах криптографии Брюс Шнайер написал о найденной ошибке буквально следующее:

«Катастрофа — вот верное слово. По шкале от 1 до 10 — это 11»

Специалисты также заявляют, что и Android-устройства подвержены этой уязвимости. Но у нас есть возможность проверить наши аппараты, компания Lookout, занимающаяся мобильной безопасностью, выпустила приложение Heartbleed Detector, которое сообщит вам, есть ли угроза конкретно для вашего устройства. К счастью, приложение бесплатное, так что скачавшим не грозит установка пустышки за 4 доллара, как некоторым.

Впрочем, приложение и не отличается широким функционалом. Оно только проверит версию OpenSSL вашего гаджета и, если это версия, содержащая ошибку, — cообщит, включен ли Heartbleed. Иными словами, у приложения есть три варианта, как оно может выглядеть: либо ваша версия пакета шифрования не содержит ошибку, либо содержит, но уязвимость не активна, либо «все плохо, хватайся за голову, бегай, размахивай руками и кричи».

Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство. Фото.Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство. Фото.Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство. Фото.

В случае, если устройство под угрозой, приложение не сможет предложить вам решение, как и не скажет, посещали ли вы сайты или использовали ли приложения, работающие на забагованной версии OpenSSL.

Прежде чем начать ускоренное поседение, волнуясь за конфиденциальность своих данных, стоит узнать, что Google заверила, что Android имеет иммунитет к Heartbleed, кроме версии 4.1.1, патч для которой в настоящее время распространяется Android-партнерам. Так что если ваш смартфон работает именно на этой версии ОС, стоит периодически проверять обновления. Но, опять же, спокойствие, только спокойствие. Ведь сама Lookout сообщает, что до сих пор не нашла ни единого случая использования уязвимости на мобильных устройствах.

Тем не менее, осведомлен – значит вооружен. А вы проверили свои устройства? Какие результаты?

Приложение: Heartbleed Detector
Разработчик: Lookout Mobile Security
Категория: Инструменты
Версия: 1.0
Цена: Бесплатно
Скачать: Google Play
Теги
Лонгриды для вас
Сбербанк Онлайн
Сбер посоветовал как можно скорее обновить Сбербанк Онлайн на Android. Что случилось?

Многие из нас привыкли игнорировать уведомления об обновлениях приложений как что-то необязательное и даже вредное. Кажется, что это просто лишняя трата времени: если приложение и так работает, зачем что-то менять? Однако в случае со Сбербанком Онлайн такая беспечность может обернуться серьезными проблемами. Использовать устаревшую версию банковского клиента — означает не только добровольно лишить себя доступа к новым функциям, но и подвергнуть риску свои данные и, что гораздо важнее, накопления. Давайте разберемся, почему обновления так важны и как они могут повлиять на ваш опыт использования.

Читать далее
Подписка Яндекс Детям подорожала в 2 раза. Теперь она стоит 200 рублей в месяц

Яндекс продолжает поднимать стоимость своих товаров. В прошлом году компания объявила о подорожании Плюса, а сейчас сообщила о повышении цены за опцию «Детям». По умолчанию она не входит в базовую подписку и подключается отдельно, однако в рамках нескольких акций уже является частью стандартной версии Плюса. Теперь за дополнительную опцию придется платить в 2 раза больше, чем раньше.

Читать далее
Как посмотреть расход трафика на телефоне Андроид

Наши смартфоны едва ли не круглосуточно подключены к интернету. И все это время они потребляют трафик, то принимая, то отправляя данные, вынуждая нас следить за статистикой сразу по двум причинам. Во-первых, у многих операторов сотовой связи трафик мобильного интернета ограничен несколькими гигабайтами в месяц, после исчерпания которых выход в сеть становится практически невозможным. Во-вторых, статистика передачи данных помогает выявить самые прожорливые и, возможно, даже шпионские приложения на устройстве. В этой связи важно иметь представление о том, как посмотреть трафик.

Читать далее
Новости партнеров