Пакет шифрования OpenSSL, установленный на миллионах устройств, работающих на базе Android, имеет ошибку безопасности Heartbleed. Ранее считалось, что данная уязвимость присутствует исключительно в домашних интернет роутерах и веб-серверах.

Потенциальную возможность взлома для злоумышленников имеют смартфоны и планшетные компьютеры с предустановленной системой Android 4.1.1, изготовленные различными производителями. Кроме того, эксперты не исключают, что аналогичная проблема может иметь место и в более поздних версиях Android.

После того, как стало известно, что этот же баг содержит интернет программа для передачи сообщений BlackBerry, разработчики сразу же выпустили обновление. По мнению специалистов Symantec, браузеры настольных компьютеров и ноутбуков также являются защищенными, поскольку библиотеки OpelSSL в свежих версиях популярных браузеров не используются.

В Android-устройствах возможна утечка данных при открытом браузере

Heartbleed дает хакерам возможность доступа к оперативной памяти, если в браузере открыта страница ввода пароля или иной конфиденциальной информации. Правда, как пишет издание Lookout Mobile, в это же время должна быть открыта другая вкладка, где содержится вредоносный код.

Эксперты считают, что потенциальную уязвимость имеют порядка 34%  устройств, работающих на базе Android. Для того чтобы проверить, подвержен ли багу смартфон или планшетный компьютер можно использовать приложение Heartbleed Detector, доступное в Google Play.

Согласно информации агентства Bloomberg, об ошибке криптографического шифрования прекрасно знают сотрудники АНБ Соединенных Штатов и почти наверняка используют в своих целях. Уязвимость HeartBleed позволяет получить доступ не только к паролям от сервисов Интернет-ресурсов, но и к коммерческой информации, обмен которой происходит через корпоративные сети.

Несмотря на то, что программисты крупнейших компаний, таких как Google, Facebook и Amazon обновили библиотеки Open SSL, не факт, что это даст необходимый эффект, поскольку уязвимость содержится в аппаратной части.

Таким образом, сотрудники АНБ могут получить доступ к сотням миллионов мобильных устройств, используемых в различных странах мира. Тем не менее, руководство спецслужбы отрицают информацию об использовании багов для незаконной слежки за гражданами.

Самое интересное, что на серверах многих правительственных ресурсов Соединенных Штатов также используются защищенные протоколы SSL. Таким образом, потенциальную возможность взлома имеют не только американские органы госбезопасности, но и спецслужбы России, Китая и других стран.

Tagged with:
 

Добавить комментарий