Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство

  2. Темы
  3. Полезно знать
Сергей Буровцов 5

Некоторое время назад эксперты обнаружили в пакете OpenSSL, использующемся для шифрования данных, критическую ошибку. Суть заключается в следующем: когда клиентское приложение связано с сервером, оно периодически отправляет на него запросы, чтобы убедиться в том, что соединение по-прежнему не разорвано. Эта функция называется «Heartbeet», или по-нашему «сердцебиение». В ответ на такой запрос, сервер отправляет некоторый пакет данных клиенту. Но, как оказалось, некоторые версии библиотеки OpenSSL, установленные на серверах, удовлетворяют даже некорректные клиентские запросы, и высылают в ответ фрагмент из оперативной памяти объемом до 64 кбайт. Отсюда название ошибки – «Heartbleed» («кровоточащее сердце»).

Heartbleed Detector на Android

В таком фрагменте памяти, само собой, могут находиться данные вовсе не предназначенные клиентской стороне. Например, логины и пароли пользователей, недавно подключавшихся к серверу, или ключ шифрования, использующийся для шифрования соединений.

Эксперт в вопросах криптографии Брюс Шнайер написал о найденной ошибке буквально следующее:

«Катастрофа — вот верное слово. По шкале от 1 до 10 — это 11»

Специалисты также заявляют, что и Android-устройства подвержены этой уязвимости. Но у нас есть возможность проверить наши аппараты, компания Lookout, занимающаяся мобильной безопасностью, выпустила приложение Heartbleed Detector, которое сообщит вам, есть ли угроза конкретно для вашего устройства. К счастью, приложение бесплатное, так что скачавшим не грозит установка пустышки за 4 доллара, как некоторым.

Впрочем, приложение и не отличается широким функционалом. Оно только проверит версию OpenSSL вашего гаджета и, если это версия, содержащая ошибку, — cообщит, включен ли Heartbleed. Иными словами, у приложения есть три варианта, как оно может выглядеть: либо ваша версия пакета шифрования не содержит ошибку, либо содержит, но уязвимость не активна, либо «все плохо, хватайся за голову, бегай, размахивай руками и кричи».

Heartbleed DetectorHeartbleed DetectorHeartbleed Detector

В случае, если устройство под угрозой, приложение не сможет предложить вам решение, как и не скажет, посещали ли вы сайты или использовали ли приложения, работающие на забагованной версии OpenSSL.

Прежде чем начать ускоренное поседение, волнуясь за конфиденциальность своих данных, стоит узнать, что Google заверила, что Android имеет иммунитет к Heartbleed, кроме версии 4.1.1, патч для которой в настоящее время распространяется Android-партнерам. Так что если ваш смартфон работает именно на этой версии ОС, стоит периодически проверять обновления. Но, опять же, спокойствие, только спокойствие. Ведь сама Lookout сообщает, что до сих пор не нашла ни единого случая использования уязвимости на мобильных устройствах.

Тем не менее, осведомлен – значит вооружен. А вы проверили свои устройства? Какие результаты?

Приложение: Heartbleed Detector
Разработчик: Lookout Mobile Security
Категория: Инструменты
Версия: 1.0
Цена: Бесплатно
Скачать: Google Play
Теги
Новости по теме
Что послушать, когда вся поп-музыка кажется однообразной?
С Новым годом, друзья!
Huawei начала обновлять смартфоны до EMUI 10 в России
Лонгриды для вас
Google Maps станет основой для игр под Android

За последние пару-тройку лет мобильные игры совершили колоссальный скачок в своём развитии. Мало того, что сильно выросло качество графики, а многие игры перешли в онлайн, так в последнее время появилась мода на интерактивную составляющую. В большинстве случаев этот интерактив достигается за счёт применения дополненной реальности, благодаря которой пользователей, во-первых, удалось вытащить на улицы, а, во-вторых, заставить взаимодействовать с окружающим пространством и встречающимися объектами. Поэтому нет ничего удивительного, что Google решила в этом немного поучаствовать.

Читать далее
Какие функции Google Ассистент получит после обновления

Я уже рассказывал о том, что некоторое время назад окончательно пересел с Google Ассистента на Алису от Яндекса. Отечественный помощник оказался реально полезнее при использовании в совокупности с сервисами вроде Яндекс.Музыки, Яндекс.Такси и прочих. Однако Google – будто узнав, что я отказался от её фирменного продукта – решила расширить возможности своего Ассистента и научить его новым полезным трюкам. Все они пока находятся на тестировании, однако по его завершении все нововведения поступят в релиз и, очевидно, привлекут внимание миллионов пользователей.

Читать далее
Скоро мы окончательно простимся с устаревшими СМСками, но получим крутую замену

Когда еще не было мессенджеров, были простые СМСки. Как же это заставляло продумывать каждое слово, которе ты писал кому-то! Каждое сообщение стоило нормальных денег, и даже не самая долгая переписка могла вылиться к круглую сумму. Тогда слово ”Привет!” мы не писали отдельным сообщением. Когда надо было уложиться в 140 символов латиницей или 70 символов кириллицей, порой вообще было не до приветствий. Сейчас все стало намного проще, но СМС все еще живы. Судя по всему, им осталось не долго, так как новые технологии на базе 5G совсем скоро вытеснят их из наших телефонов. Что придет им на смену и как вообще жить после этого?

Читать далее

5 комментариев Оставить свой

  1. Егор Монахов

    Вухууу, я не заражен =)

  2. miha_style

    У меня второй вариант «содержит, но уязвимость не активна» ? Я так понял можно особо не переживать ? Или что?

    • Сергей Буровцов

      Это самый распространенный вариант. У меня тоже самое)
      Да, «everything is ok»

      • miha_style

        Ну тогда я спокоен 😉

        • Artem_Fox27

          И я тоже))

Новый комментарий