+33 голоса |
После объявления о проблеме Heartbleed, эксперты компании FireEye просканировали 54 тыс. программ, представленных в Google Play. Как выяснилось, многие пострадавшие от Heartbleed игры и мобильные офисные программы использовали собственные библиотеки OpenSSL, а не библиотеку, имеющуюся в ОС Android. Ранее Google заявляла о том, что Android невосприимчива к Heartbleed.
Как известно, Heartbleed — ошибка переполнения буфера в криптографическом ПО OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Эта ошибка может быть использована для атак на приложения, и в отдельных случаях, позволяет получить токен OAuth, который впоследствии применяется для взлома учетной записи пользователя.
В ходе проверки выяснилось, что некоторые приложения для платформы Android с собственной реализацией OpenSSL от не пострадали Heartbleed. Выбрав шесть из 17-ти приложений, которые заявили об имеющейся уязвимости Heartbleed, эксперты FireEye протестировали их на устройствах Android — и подтвердили уязвимость Heartbleed только в двух.
Более детальное исследование показало, что приложения, которые, казалось бы, должны быть уязвимыми, не пострадали из-за недочетов в кодировании при реализации библиотеки OpenSSL. Вследствие довольно-таки распространенной ошибки, при вызове SSL-функций эти приложения обращались не к библиотеке предоставляемой приложением, а напрямую к неуязвимой версии библиотеки OpenSSL в ОС Android. Иногда полезно ошибаться...
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+33 голоса |