Мобильные приложения имеют уязвимости в Heartbleed

Компания Trend Micro провела исследование мобильных приложений на предмет их уязвимости в Heartbleed. Ошибка в реализации OpenSSL позволяет атаковать не только сервера, но и клиентские приложения, которые взаимодействуют с этими серверами. Поэтому мобильные приложения, которые подключаются к уязвимым серверам, также уязвимы. Компания Trend Micro проанализировала 390 тыс. приложений из Google Play и обнаружила, что по крайней мере 1300 из них взаимодействуют с уязвимыми серверами, и, возможно, также уязвимы и могут быть атакованы. В это число входит 15 приложений для оплаты через банк, 39 приложений для интернет-платежей и 10 приложений электронных магазинов.

При этом если рассмотреть уязвимости в наиболее популярных серверах по версии сервиса Alexa, то при анализе 10 тыс. из них обнаружилось 600 уязвимых ресурсов, то есть примерно 6%. В то же время доля уязвимых мобильных приложений составляет 0,3%, то есть на порядок ниже. При этом именно на сервера скорее всего и будет организовано нападение хакеров, атаковать же мобильные приложения, которые, как правило, обращаются к ограниченному набору серверов, значительно сложнее. В то же время обновиться приложениям проще - в Google Play есть режим автоматического обновления, при котором пользователь даже и не заметит установки новой версии приложения с исправленной ошибкой.

Тем не менее, поскольку остается вероятность перехвата сессии SSL и получения доступа злоумышленников к секретной части сертификата с последующим вскрытием сессии, то рекомендуется всё-таки поменять пароли для сайтов, которые пользовались уязвимой библиотекой - найти их можно, например, здесь. Или хотя бы перелогиниться, чтобы клиент получил новый сертификат для доступа.