Уязвимость Heartbleed. Чем опасна и как проверить Android-устройство

Некоторое время назад эксперты обнаружили в пакете OpenSSL, использующемся для шифрования данных, критическую ошибку. Суть заключается в следующем: когда клиентское приложение связано с сервером, оно периодически отправляет на него запросы, чтобы убедиться в том, что соединение по-прежнему не разорвано. Эта функция называется «Heartbeet», или по-нашему «сердцебиение». В ответ на такой запрос, сервер отправляет некоторый пакет данных клиенту. Но, как оказалось, некоторые версии библиотеки OpenSSL, установленные на серверах, удовлетворяют даже некорректные клиентские запросы, и высылают в ответ фрагмент из оперативной памяти объемом до 64 кбайт. Отсюда название ошибки – «Heartbleed» («кровоточащее сердце»).

Heartbleed Detector на Android

В таком фрагменте памяти, само собой, могут находиться данные вовсе не предназначенные клиентской стороне. Например, логины и пароли пользователей, недавно подключавшихся к серверу, или ключ шифрования, использующийся для шифрования соединений.

Эксперт в вопросах криптографии Брюс Шнайер написал о найденной ошибке буквально следующее:

«Катастрофа — вот верное слово. По шкале от 1 до 10 — это 11»

Специалисты также заявляют, что и Android-устройства подвержены этой уязвимости. Но у нас есть возможность проверить наши аппараты, компания Lookout, занимающаяся мобильной безопасностью, выпустила приложение Heartbleed Detector, которое сообщит вам, есть ли угроза конкретно для вашего устройства. К счастью, приложение бесплатное, так что скачавшим не грозит установка пустышки за 4 доллара, как некоторым.

Впрочем, приложение и не отличается широким функционалом. Оно только проверит версию OpenSSL вашего гаджета и, если это версия, содержащая ошибку, — cообщит, включен ли Heartbleed. Иными словами, у приложения есть три варианта, как оно может выглядеть: либо ваша версия пакета шифрования не содержит ошибку, либо содержит, но уязвимость не активна, либо «все плохо, хватайся за голову, бегай, размахивай руками и кричи».

Heartbleed DetectorHeartbleed DetectorHeartbleed Detector

В случае, если устройство под угрозой, приложение не сможет предложить вам решение, как и не скажет, посещали ли вы сайты или использовали ли приложения, работающие на забагованной версии OpenSSL.

Прежде чем начать ускоренное поседение, волнуясь за конфиденциальность своих данных, стоит узнать, что Google заверила, что Android имеет иммунитет к Heartbleed, кроме версии 4.1.1, патч для которой в настоящее время распространяется Android-партнерам. Так что если ваш смартфон работает именно на этой версии ОС, стоит периодически проверять обновления. Но, опять же, спокойствие, только спокойствие. Ведь сама Lookout сообщает, что до сих пор не нашла ни единого случая использования уязвимости на мобильных устройствах.

Тем не менее, осведомлен – значит вооружен. А вы проверили свои устройства? Какие результаты?

Приложение: Heartbleed Detector
Разработчик: Lookout Mobile Security
Категория: Инструменты
Версия: 1.0
Цена: Бесплатно
Скачать: Google Play
Теги
Лонгриды для вас
google фото
Есть ли разница между снимками в высоком и исходном качестве в Google Фото

Во времена, когда Google предлагала пользователям безлимитное хранилище в «Google Фото», для них действовало одно небольшое условие. Для того, чтобы загружать в облако фото и видео без ограничений, нужно, чтобы они были переведены из исходного качества просто в высокое. По большому счёту это ни на что не влияло. Реально отличить ужатую фотографию от оригинальной невооружённым глазом было невозможно. Однако после объявления об отмене услуги безлимитного хранения снимков Google переобулась и начала рекомендовать хранить фото и видео в исходном виде, дабы не терять в качестве. А есть ли разница?

Читать далее
Очистить память
Стоит ли пользоваться приложениями для очистки памяти на Android

Один из стереотипов об Android заключается в том, что он совершенно не умеет работать с кэшем. Из-за этого память смартфонов на базе этой платформы постоянно забивается, и через год-полтора ими становится невозможно пользоваться. Поэтому среди пользователей получили широкое распространение приложения для очистки памяти. Их разработчики уверяют, что достаточно запускать утилиту раз в 2-3 месяца, как весь мусор будет удалён, а к смартфону вернётся былая скорость. Разбираемся, почему всё это полная чушь и пользоваться такими приложениями категорически не стоит.

Читать далее
Apple Music
Почему Apple Music — лучший музыкальный сервис для Android

Несмотря на то что Apple Music доступен на Android практически с момента своего запуска на iOS, большой популярностью он похвастать не мог. Пользователи Android в большинстве своём предпочитали слушать музыку где-то ещё – от Яндекс.Музыки и Spotify до Boom Sound и YouTube Music. Не то чтобы они были удобнее Apple Music, просто для регистрации в сервисе Apple нужно заводить отдельный аккаунт Apple ID, которого у большинства из них в принципе нет. Но ради предстоящего обновления Apple Music его можно и завести.

Читать далее
5 комментариев
  1. Егор Монахов

    Вухууу, я не заражен =)

  2. miha_style

    У меня второй вариант «содержит, но уязвимость не активна» ? Я так понял можно особо не переживать ? Или что?

    • Сергей Буровцов

      Это самый распространенный вариант. У меня тоже самое)
      Да, «everything is ok»

      • miha_style

        Ну тогда я спокоен 😉

        • Artem_Fox27

          И я тоже))

Новый комментарий