Чим ще загрожує Heartbleed простому користувачеві?

Технології 09 січня 2025

Анотація перекладача

Інша сторона Heartbleed: вразливості клієнта
Вивід перекладача
Посилання

Мій топік повинен заповнити якусь прогалину в темі «Чим загрожує Heartbleed простому користувачеві», дякую FFF за пост: habrahabr.ru/post/219151

Вразливості клієнтів ніхто не відміняв. Але якщо топові платіжні сервіси реагують протягом доби, то як довго чекати оновлень від виробника смартфона або, скажімо, «розумного» ТБ? Нехороший сайт зможе запросто випотрошити пам'ять клієнта - недопатченого браузера, смартфона, планшета, занадто розумного телевізора, відео- або ігрової приставки, і т. д. Будь-який пристрій, здатний завантажувати веб-сторінки (включаючи ваш домашній Linux), і при цьому обробне конфіденційні дані - це мета, і часом на довгі роки.

Даю вам переклад статті Роба Ванденбрінка (Rob VandenBrink) цілком, це не зайняло багато часу.

Інша сторона Heartbleed: вразливості клієнта

Нам повідомляють про клієнтські додатки, вразливі до загрози Heatbleed. Як і у випадку серверних програм, вразливість клієнтів визначається версією OpenSSL.

Думаєте, черговий випадок із серії «чекайте виправлень»? Оновлення відбудеться тоді, коли вендор... Так, зачекайте-но. А коли саме виробник вашого «розумного» телевізора обіцяв випустити виправлення для вбудованого в ТБ браузера? І коли ви збиралися його встановити? А як щодо телевізора у брата дружини? Схоже, ця клієнтська вразливість проживе набагато довше всіх серверних...

Маємо неприємне поєднання вразливості Heartbleed зі специфікою вбудованих (embedded) пристроїв, які можуть не оновлюватися взагалі ніколи. Або вони оновлюються протягом кількох років після випуску, а після виходу нової моделі виробник просто кидає їх напризволяще. Гарні приклади - домашні роутери і розумні телевізори, але це можуть бути і медичні пристрої.

Досить солідним доповненням до теми є пристрої Android, які оператор зв'язку продає і обслуговує в обхід виробника коду (Google): у таких пристроїв оновлення або рідкісні, або їх немає зовсім, але використовуються вони широко. Перше, що зазвичай спадає на думку, це, звичайно, банківські онлайн-додатки. У підсумку маємо поєднання товару широкого вжитку і вразливості, яка відкриває його пам'ять майже будь-якому шкідливому (або зламаному) серверу. Це потенціал зброї масового ураження, з довгим життєвим циклом пристрою (виходять роки замість тижнів або місяців).

Інші програми з шифруванням, які ми не звикли вважати «клієнтами», включають: традиційний софт баз даних, клієнтів хмарних сервісів, спеціальні програми-браузери для розважальних порталів, навіть драйвери пристроїв. Недостатньо просто сказати «такий-то додаток вразливий», він може використовуватися на вашому ПК, планшеті, смартфоні, ТБ, відеоприставці, тренажері, холодильнику, клімат-контролі - список все росте і росте далі, в бік все більш дрібних пристроїв, оновлювати які вже точно ніхто не збирається.

Ось тільки деякі вразливі програми (@ teleghost: цей перелік згадувався неодноразово, трохи доповнено, джерела в посиланнях):

MariaDB 5.5.36 (@teleghost: спірно)
wget 1.15 (розкриває пам'ять більш ранніх з'єднань і своїх статків)
curl 7.36.0
git 1.9.1 (перевіряли clone/push, витік слабкий)
nginx 1.4.7 (у режимі проксі-сервера, розкриває пам'ять попередніх запитів) (@ teleghost: спірно)
links 2.8 (розкриває вміст попередніх візитів!)
Всі програми KDE, які використовують KIO (Dolphin, Konqueror)
AnyConnect for Apple iOS
Juniper Odyssey 802.1x Client 5.6r5 і пізніший
Різні версії Junos Pulse VPN Client
OpenVPN
...

Вивід перекладача

Особисто моя думка така, що протягом декількох тижнів або місяців сили зла будуть збирати жирні пінки, вершки і тому подібну сметану з платіжних систем і банківських сервісів, і тільки після цього перемикатися на наш з вами побутовий рівень. Спочатку пройдуться по всьому, що у нас так чи інакше пов'язано з платіжними картками і платними сервісами. Потім, коли технології розійдуться по руках, будуть просто красти паролі від усього підряд. Найгірше справи у розумних телевізорів і деяких моделей смартфонів, там оновлень можна чекати роками і не дочекатися ніколи.

Якщо раніше я розумів, що моїм смартфоном може скористатися тільки АНБ, то тепер це може бути будь-який пройдисвіт середньої руки. Вже не так смішно, правда?

Бережіть себе.