V posledních dnech jste si možná všimli, že nejrůznější média zmiňují slovo Heartbleed. Jedná se o pojmenování chyby v rámci knihovny OpenSSL, jenž se používá k zabezpečené komunikaci mezi serverem a klientem – v našem případě webovým prohlížečem či jinou aplikací.
Chyba Heartbleed byla nalezena výzkumníky z Codenomicon a Google Security. Oficiální označení je CVE-2014-0160.
Heartbleed umožňuje útočníkům číst zašifrovaná data bez toho, aby zanechali jakékoliv stopy. Mnohé weby a služby naštěstí již nyní provádějí aktualizaci na novější verzi knihovny OpenSSL, kde je bezpečnostní díra opravena.
Například v článku na Živě.cz můžete najít seznam webů a služeb, jenž používají OpenSSL. Také se zde dozvíte, jestli daný subjekt má opravenou verzi, případně jestli je nutné změnit heslo.
Bohužel se tento problém týká i Androidu. Ve většině případů je v systému obsažena starší verze OpenSSL a tudíž se zde objevuje výše popsaná chyba. K tomuto účelu vznikla aplikace od společnosti Lookout, která vám zobrazí, jestli je váš smartphone bezpečný.
Například u mého Nexusu 5 s Androidem 4.4.2 KitKat se objevil Heartbleed, ale není možné jej využít. Tudíž se jedná o relativně bezpečné zařízení. Aplikace Heartbleed Detector hlásí, že je vše v pořádku.
Nejvíce zranitelná zařízení mají Android ve verzi 4.1.1, kde je možné zneužít tuto chybu. Google naštěstí nezahálí a připravuje opravný balíček. Ten získají výrobci smartphonů a tabletů, aby jej mohli co nejdříve zaslat uživatelům do zařízení.
Aplikace Heartbleed Detector nijak neopravuje tuto chybu – pouze ji detekuje. Lookout dodává, že se zatím neobjevil případ, kdy by došlo k zneužití Heartbleed.
- Obchod Play Heartbleed Security Scanner
Zdroj: androidauthority.com