`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Некоторые Android-приложения оказались невосприимчивы к Heartbleed — из-за ошибок кода

+33
голоса

Некоторые Android-приложения оказались невосприимчивы к Heartbleed — из-за ошибок кодаПосле объявления о проблеме Heartbleed, эксперты компании FireEye просканировали 54 тыс. программ, представленных в Google Play. Как выяснилось, многие пострадавшие от Heartbleed игры и мобильные офисные программы использовали собственные библиотеки OpenSSL, а не библиотеку, имеющуюся в ОС Android. Ранее Google заявляла о том, что Android невосприимчива к Heartbleed.

Как известно, Heartbleed — ошибка переполнения буфера в криптографическом ПО OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Эта ошибка может быть использована для атак на приложения, и в отдельных случаях, позволяет получить токен OAuth, который впоследствии применяется для взлома учетной записи пользователя.

В ходе проверки выяснилось, что некоторые приложения для платформы Android с собственной реализацией OpenSSL от не пострадали Heartbleed. Выбрав шесть из 17-ти приложений, которые заявили об имеющейся уязвимости Heartbleed, эксперты FireEye протестировали их на устройствах Android — и подтвердили уязвимость Heartbleed только в двух.

Более детальное исследование показало, что приложения, которые, казалось бы, должны быть уязвимыми, не пострадали из-за недочетов в кодировании при реализации библиотеки OpenSSL. Вследствие довольно-таки распространенной ошибки, при вызове SSL-функций эти приложения обращались не к библиотеке предоставляемой приложением, а напрямую к неуязвимой версии библиотеки OpenSSL в ОС Android. Иногда полезно ошибаться...

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+33
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT