Lajmet

Gabimi në kodim i mbron disa aplikacione për Android nga Heartbleed

Publikuar , 23 Prill 2014
0
Gabimi në kodim i mbron disa aplikacione për Android nga Heartbleed

heartbleed.0_standard_640.0Disa aplikacione për Android janë menduar që janë të prekshme nga Heartbleed, por doli që nuk është ashtu për shkak të një gabimi të zakonshëm në kodim në mënyrën e implementimit të librarisë së tyre OpenSSL. FireEye skanoi 54 mijë aplikacione për Android në Google Play më 10 prill për të parë se cilët ishin të dobët karshi Heartbleed-it. Vrima, e zbuluar publikisht më 7 prill, është e përfshirë në librarinë koduese OpenSSL, për të enkriptuar trafikun e të dhënave.

Kompania e sigurisë gjeti disa lojëra dhe aplikacione për produktivitet të tipit për zyre që janë të dobëta ndaj vrimës, kryesisht për shkak se aplikacionet përdorin librarinë e tyre OpenSSL në vend të asaj që ndodhet në sistemin operativ Android.

Google tha që Androidi kishte kryesisht imunitet ndaj Heartbleed-it. “Ne kemi njoftuar disa nga zhvilluesit e aplikacioneve,” shkruan hulumtuesit Yulong Zhand, Hui Xue dhe Tao Wei në blogun FireEye.

Vrima Heartbleed është dobësi e mbingarkimit të memories së përkohshme sipas të cilës një server kthen shumë informacione, duke nxjerr kredencialet dhe të dhënat e ndjeshme të përdoruesve si ato të çelësave privatë për një certifikatë SSL.

Por mund të përdoret edhe për të sulmuar aplikacione. FireEye tha që sulmimi i një loje do të mund të dorëzonte tokenin OAuth, që është token verifikimi, që do të mund të përdorej për ta sulmuar një llogari ose llogaritë e rrjeteve sociale me të cilat është bërë lidhja. Në shikim të parë, disa aplikacione produktiviteti në zyre për Android u duk të jenë të dobëta. Por hulumtuesit gjetën një gabim të zakonshëm në kodim që nënkuptonte që vrima Heartbleed nuk do të punonte.

LEXO EDHE:  Një kompani Kineze ka ndërtuar një smartfon pa porta

“Një vëzhgim i thellë tregon që këto aplikacionet ose e kanë bërë një gabim në lidhjen e kodit bazë ose thjesht përmbajnë kod të shuar,” shkruajnë hulumtuesit e FireEye. “Kështu që, kur ata provojnë të thërrasin funksionet SSL, ata drejtpërdrejt e përdorin librarinë jo-të dobët OpenSSL, që ndodhet brenda SO-s Android, në vend se ta përdorin librarinë e ofruar nga aplikacioni.”

FireEye ka gjetur po ashtu 17 aplikacione në Google Play të cilat thonë se gjejnë dobësinë e Heartbleed-it. Vetëm gjashtë aplikacione skanonin një pajisje me Andorid. Nga gjashtë prej tyre, dy dështuan të identifikojnë aplikacionet e konfirmuara si të dëmshme. Aplikacionet e tjera që pohonin të kryenin skanime ishin dizajnuar që të ofrojnë softuerë reklamimi. (PCWorld Albanian)

Lajmet e fundit>