Comments | dwarkin: А для крутых парней барабаны

dwarkin

А для крутых парней барабаны - часть 10

Apr 28, 2014 12:01

Предыдущие части: 1 2 3 4 5 6 7 8 9

Часть 10.

В комментариях к предыдущей части народ просит слайды жаждет обсудить HeartBleed, но мы все таки начнем с Apple, благо это даже хронологически верная последовательность событий, не говоря уж о том, что «критическая и позорная уязвимость» в яблочном коде оказалась цветочками по сравнению с основной ( Read more... )

nsa

Comments 51

sergeax April 28 2014, 15:25:13 UTC

Еще можно было пользоваться решениями от Microsoft :)

dwarkin April 28 2014, 20:25:36 UTC

я им чуть выше в комментариях уже пламенный привет передал :)

zyama_krendel April 28 2014, 18:03:15 UTC

Круто, как всегда, спасибо за классный обзор!

А "heartbleed" - это, ИМХО, что-то ""еловек, у которого за всё на свете "душа болит" (или "сердце кровью обливается" :) ).

alexcohn April 28 2014, 19:55:02 UTC

Насколько я понимаю, проблема с Андроидом - надуманная. Heartbleed работает на сервере, а 99.97% андроидных девайсов никогда никаких серверов наружу через SSL не запускают. Те немногие, кому нужно запускать сервер на Андроиде, без напряжения поставят исправленную версию от AOSP или Cyanogen. А остальные миллионы пользователей, у которых на андроидном телефоне бежит SSL сервер, должны волноваться в первую очередь о том, кто этот сервер у них запустил, и какую информацию он сливает в штатном режиме, безотносительно ко всяким уязвимостям.

alexcohn April 28 2014, 19:57:34 UTC

С другой стороны, в мире Андроида хорошим тоном считается не пользоваться системным OpenSSL, а прилинковать к своему приложению свою версию. Так что в этом смысле - под подозрением и те, у кого версия системы не 4.1.

dwarkin April 28 2014, 20:26:59 UTC

Wikipedia утверждает обратное :)

Client-side vulnerability:

In what the Guardian dubbed "reverse Heartbleed", malicious servers are able to exploit the Heartbleed vulnerability to read data from the client's memory such as usernames and passwords.

Security researcher Steve Gibson stated "it's not just a server-side vulnerability, it's also a client-side vulnerability because the server, or whomever you connect to, is as able to ask you for a heartbeat back as you are to ask them."
Google has confirmed that Android version 4.1.1 (Jelly Bean) has the Heartbleed bug.
Тhis affects approximately 50 million Android devices and remains unpatched.

alexcohn April 28 2014, 20:50:51 UTC

Спасибо. Но к malicious server нужно подключиться зачем-то. Просто попасть на такой web-сайт в браузере - много ль хакерам проку. А вот если на твоем девайсе бежит приложение, которое лезет на сервер, который специально заточен, чтобы запускать "reverse Heartbleed", то скорее всего, всё, что можно было у тебя украсть, уже украли без всякого эксплойта.

Thread 6