Videó: KOPASZ BALINT (November 2024)
Áprilisban megtudtuk, hogy a népszerű OpenSSL kódkönyvtárban található hiba lehetővé teszi a támadók számára, hogy memóriát gyűjtsenek az állítólag biztonságos szerverekről, potenciálisan elfogva bejelentkezési hitelesítő adatokat, magánkulcsokat és még sok minden mást. A "Szívverés" elnevezéssel ez a hiba évekig létezett, mielőtt felfedezték. Ennek a hibának a legtöbb megbeszélése azt feltételezte, hogy a hackerek biztonságos szerverek ellen fogják használni. Egy új jelentés azonban demonstrálja, hogy könnyen kihasználható mind Linux, mind Android rendszert futtató szerverekre és végpontokra.
Luis Grangeia, a SysValue kutatója létrehozott egy koncepció-kód könyvtárat, amelyet "Ámornak" hívnak. Az Ámor két javításból áll a meglévő Linux kódkönyvtárakhoz. Az egyik lehetővé teszi, hogy egy "gonosz szerver" kihasználja a Heartbleed kiszolgáltatott Linux és Android klienseinket, míg a másik lehetővé teszi egy "gonosz szerver" számára, hogy megtámadja a Linux szerverek. Grangeia szabadon elérhetővé tette a forráskódot, abban a reményben, hogy más kutatók is csatlakoznak, hogy többet megtudjanak, hogy milyen támadások lehetséges.
Nem mindenki sebezhető
Az Ámor kifejezetten az olyan vezeték nélküli hálózatokkal szemben működik, amelyek az Extensible Authentication Protocol (EAP) protokollt használják. Az otthoni vezeték nélküli router szinte biztosan nem használja az EAP-t, de a legtöbb vállalati szintű megoldás ezt megteszi. Grangeia szerint még egyes vezetékes hálózatok is használják az EAP-t, ezért kiszolgáltatottak lennének.
Az Ámor-kóddal javított rendszernek három lehetősége van arra, hogy adatokat gyűjtsön az áldozat memóriájából. Támadhat, még mielőtt a biztonságos kapcsolatot létrehozták, ami kissé riasztó. Támadhat a biztonságot létrehozó kézfogás után. Vagy támadhat az alkalmazás adatainak megosztása után.
Ami az Ámorral felszerelt készüléket képes elfogni, Grangeia nem határozta meg alaposan, hogy bár "az átfogó ellenőrzés érdekes dolgokat talált mind a kiszolgáltatott klienseken, mind a szervereken". Még nem ismert, hogy ez az "érdekes cucc" magánkulcsokat vagy felhasználói hitelesítő adatokat tartalmaz-e. A forráskód kiadásának egyik oka az, hogy minél több agy dolgozzon az ilyen részletek felfedezésén.
Mit tudsz csinálni?
Az Android 4.1.0 és 4.1.1 egyaránt használják az OpenSSL sebezhető verzióját. A Bluebox jelentése szerint a későbbi verziók technikailag sérülékenyek, de a szívverés üzenetküldő rendszer le van tiltva, így a Heartbleednek semmi nem hasznosítható.
Ha Android-eszközén 4.1.0 vagy 4.1.1 fut, frissítse, ha lehetséges. Ha nem, Grangeia azt javasolja, hogy "kerülje az ismeretlen vezeték nélküli hálózatokhoz való csatlakozást, hacsak nem frissíti a ROM-ot".
A vezeték nélküli módon csatlakozó Linux rendszerek sebezhetők, kivéve, ha az OpenSSL javításra került. Az ilyen rendszereket használóknak ellenőrizniük kell még a javítás helyét.
Ami az EAP-t használó vállalati hálózatokat illeti, Grangeia javasolja, hogy a rendszert teszteljék a SysValue vagy más ügynökség által.
A Mac, a Windows dobozok és az iOS eszközök nem érintettek. Egyszer a Linux van bajban. Itt olvashatja Grangeia teljes bejegyzését, vagy itt megnézheti a diavetítés bemutatóját. Ha maga kutató, érdemes megragadni a kódot, és kicsit kísérletezni.
