«Обратный HeartBleed» угрожает ПК, планшетам

«Обратный HeartBleed» угрожает ПК, планшетам — и смартфонам!

Уязвимость HeartBleed, обнаруженная на минувшей неделе, стала одной из самых серьёзных в истории Интернета. Из-за неё серверы, использовавшие шифрование OpenSSL, с января 2012 года невольно компрометировали данные пользователей. Социальные сети, электронная почта, «личные кабинеты», популярные онлайн-игры и так далее — оказались уязвимы перед лицом незримой опасности... Но даже устранение этого «бага» на серверах и смена паролей не стало «концом эпопеи». Обнаружилось, что HeartBleed представляет опасность также для пользовательских устройств — персональных компьютеров, ноутбуков, планшетов и смартфонов. Насколько серьёзна эта угроза? Читайте в сегодняшнем выпуске TechnoDrive!

С атаками на серверы, в принципе, ситуация понятна, и ею должны заниматься админы. А вот сценарий атаки «обратный HeartBleed» представляет интерес уже непосредственно для массовых пользователей. Дело в том, что он предполагает отправку пакетов по протоколу TLS на клиентские устройства. В результате может быть считано содержимое памяти гаджетов.

Для этого злоумышленникам нужен лишь специально настроенный (или заражённый) сервер в Интернете. Также сообщается о потенциальной возможности атаки HeartBleed через социальные сети, хостинги файлов и другие веб-приложения.

Потенциальную уязвимость клиентских устройств, — включая мобильные гаджеты, — в беседе с TechnoDrive подтвердили и эксперты «Лаборатории Касперского».

«Если на смартфоне установлен "софт", использующий OpenSSL, то можно провести атаку HeartBleed, — отметил Вячеслав Закоржевский, руководитель группы исследования уязвимостей "Лаборатории Касперского". — Но с некоторым оговорками. Во-первых, firewall не должен блокировать инициацию установки соединения (входящие соединения) по 443 порту. Во-вторых, на смартфоне должна быть уже установлена HTTPS-сессия, либо работать "софт", открывающий и слушающий 443 порт. В-третьих, если на гаджете используется не x86 платформа, — а это вероятно, — то уязвимость может не отработать или отработать по-другому из-за разницы в низкоуровневой реализации HeartBeat. В целом же, не считая описанные выше нюансы (и некоторые другие), разницы между сервером и обычным гаджетом нет».

Тестирование уязвимости было проведено и экспертами TechnoDrive. В качестве объекта мы использовали современный Android-смартфон с открытой HTTPS-сессией, защищённый продуктом Kaspersky Internet Security 11.1.9.116. В результате серии telnet-обращений по его IP-адресу на порт 443, неизменно выдавалась ошибка «Сбой подключения». То есть гаджет оказался недоступен для атаки в принципе.

Подводя итог, отметим, что новые угрозы повышают значимость файерволов и антивирусов для мобильных устройств. Ведь в случае успешной атаки HeartBleed, владелец смартфона может потерять главную учётную запись. Например, аккаунт Gmail, к которому привязан Android-гаджет. Аналогичное справедливо и для других платформ — ведь уязвимая OpenSSL работает под всеми популярными платформами, включая Windows, Linux и MacOS. Если, конечно, ваша версия OpenSSL входит в чёрный список — и у вас без ограничений открыт соответствующий порт. И, разумеется, для атаки на определённое устройство, злоумышленники должны знать его текущий IP-адрес.