Видео: unboxing turtles slime surprise toys learn colors (Ноември 2024)
През април научихме, че грешка в популярната библиотека с кодове на OpenSSL може да позволи на атакуващите да съберат памет от уж защитени сървъри, потенциално заснемайки идентификационни данни за вход, частни ключове и други. Озаглавен "Heartbleed", този бъг съществува години наред, преди да бъде открит. Повечето дискусии на този бъг предполагаха, че хакерите ще го използват срещу защитени сървъри. Нов доклад обаче показва, че той може лесно да се използва както на сървъри, така и на крайни точки, работещи под Linux и Android.
Луис Гренджия, изследовател от SysValue, създаде библиотека с кодове с доказателство за концепция, която той нарича „Купидон“. Cupid се състои от два кръпки към съществуващите Linux кодови библиотеки. Единият позволява на "зъл сървър" да експлоатира Heartbleed на уязвими клиенти на Linux и Android, докато другият позволява на "зъл клиент" да атакува Linux сървъри. Grangeia направи изходния код свободно достъпен с надеждата, че други изследователи ще се присъединят, за да научат повече за това какви видове атаки са възможни.
Не всички са уязвими
Купидон специално работи срещу безжични мрежи, които използват разширяващия се протокол за удостоверяване (EAP). Вашият домашен безжичен рутер почти със сигурност не използва EAP, но повечето решения на ниво Enterprise. Според Grangeia дори някои кабелни мрежи използват EAP и следователно биха били уязвими.
Система, закърпена с кода на Купидон, има три възможности да вземе данни от паметта на жертвата. Тя може да атакува, преди сигурната връзка дори да е направена, което е малко тревожно. Тя може да атакува след ръкостискане, което установява сигурност. Или може да атакува след споделяне на данни от приложението.
Що се отнася до това, което може да улови устройство, оборудвано с Купид, Grangeia не е определил задълбочено, че въпреки това, че „инспекцията на бегъл път открива интересни неща както за уязвимите клиенти, така и за сървърите“. Дали тези „интересни неща“ могат да включват частни ключове или потребителски идентификационни данни все още не е известно. Част от причината за освобождаването на изходния код е да получите повече мозъци, работещи върху откриването на такива подробности.
Какво можеш да направиш?
Android 4.1.0 и 4.1.1 използват уязвима версия на OpenSSL. Според доклад на Bluebox, по-късните версии са технически уязвими, но системата за съобщения на сърдечния ритъм е деактивирана, което не дава на Heartbleed нищо за експлоатация.
Ако устройството ви с Android работи 4.1.0 или 4.1.1, надстройте, ако е възможно. Ако не, Grangeia съветва, че „трябва да избягвате да се свързвате с неизвестни безжични мрежи, освен ако не надстроите вашия ROM“.
Linux системите, които се свързват чрез безжична връзка, са уязвими, освен ако OpenSSL не е патч. Тези, които използват такива системи, трябва да проверят двойно, за да се уверят, че пластирът е на мястото си.
Що се отнася до корпоративните мрежи, които използват EAP, Grangeia предлага те да получат тест на системата от SysValue или друга агенция.
Макове, Windows кутии и iOS устройства не са засегнати. Веднъж затруднен е Linux. Можете да прочетете пълната публикация на Grangeia тук или да видите презентация на слайдшоу тук. Ако сами сте изследовател, може да искате да вземете кода и да направите малко експерименти.