Некоторые приложения Android, которые, как считалось, могут быть уязвимыми из-за ошибки Heartbleed, на самом деле защищены — благодаря другой ошибке: в реализации библиотеки поддержки OpenSSL.

В компании FireEye провели сканирование 54 тыс. приложений из Google Play, чтобы выяснить, какие из них уязвимы из-за Heartbleed. В Google заявляют, что в самой платформе Android в связи с Heartbleed бреши нет, но в FireEye некоторые игры и офисные приложения признали потенциально уязвимыми, поскольку они пользуются собственной библиотекой OpenSSL вместо встроенной в Android. Атака против уязвимой игры, осуществляемая с использованием Heartbleed, может позволить получить токен OAuth и с его помощью захватить аккаунт в самой игре или в социальных сетях, к которой он привязан, полагают в FireEye.

Более подробный анализ предположительно уязвимых офисных приложений показал наличие во многих из них ошибки, из-за которой при обращениям к функциям SSL в реальности они вызываются из библиотеки, встроенной в Android, а не из собственной, сообщают исследователи.

Как отмечают в FireEye, из примерно двух десятков программ в Google Play, проверяющих уязвимость системы для Heartbleed, только шесть сканируют приложения, и не все из них находят уязвимые.

Поделитесь материалом с коллегами и друзьями