Najwyraźniej Android 4.1 jest również podatny na lukę Heartbleed. To właśnie wyjaśnił badacz bezpieczeństwa Jake Williams, konsultant w CSR Group Computer Security Consultants podczas wydarzenia zorganizowanego przez Instytut SANS w Australii. W tym kontekście skrytykował niechęć producentów telefonów komórkowych do dostarczania poprawek bezpieczeństwa dla swoich urządzeń.

Jednak nadal nie jest jasne, których wersji Androida 4.1 dotyczy problem. Uważa się, że 4.1.0 i 4.1.1 są podatne na ataki, podczas gdy niektóre raporty sugerują, że błąd występuje tylko w systemie Android 4.1.1. Według Williamsa wersja 4.1.x nadal działa na ponad jednej trzeciej wszystkich działających urządzeń z Androidem.

„Niestety, jeśli korzystasz z tak wczesnej wersji Androida, prawdopodobnie zostaniesz dotknięty” – powiedział Williams. Jednak dostępność poprawek jest „mniejsza niż pożądana”. Z kolei Linux, który stanowi podstawę Androida, jest chwalony przez badaczy za szybkie wydanie aktualizacji OpenSSL.

James Lyne, główny badacz ds. bezpieczeństwa w Sophos, widzi odpowiedzialność przede wszystkim po stronie operatora sieci komórkowej. „W wielu przypadkach to dostawcy, a nie dostawcy sprzętu, ale firmy telekomunikacyjne, nie działają odpowiedzialnie”.

Podczas wydarzenia SANS Institute niektórzy prelegenci zintensyfikowali również swoją krytykę polityki informacyjnej wielu firm. W szczególności banki nie informowały swoich klientów, czy również oni dotknęli Heartbleed. Niektóre organizacje wydały komunikaty prasowe, ale nie zawierały niezbędnych informacji. Na przykład bank twierdził, że podjął już kroki przeciwko kradzieży danych, a także zainstalował łatkę, powiedział Williams. Jednak certyfikat SSL używany przez bank został utworzony 4 grudnia 2012 roku i dlatego jest niezabezpieczony.

„Jeśli rzeczywiście zostali dotknięci i musieli nałożyć łatkę, śmiertelnie mnie przeraża, że ​​nie wydali ponownie certyfikatu po łatce” – powiedział Williams. Bank jest tylko jednym z przykładów „mierności” wielu organizacji, „która powinna przestraszyć wszystkich na tej sali”.

Firma Apple potwierdziła firmie Recode, że jej mobilny system operacyjny iOS nie jest dotknięty błędem Heartbleed. „IOS i OS X nigdy nie zawierały podatnego na ataki oprogramowania, a ważne usługi internetowe nie zostały naruszone” – powiedział na blogu rzecznik Apple.

Użytkownicy stron internetowych, których dotyczy problem, powinni zmienić swoje dane dostępowe. Hasło należy zmienić ponownie, gdy dany operator serwera zaaplikuje łatkę na dziurę w OpenSSL i nowy certyfikat.

[z materiałem ze Stilgherrian, ZDNet.com]

Wskazówka: na ile masz pewność co do bezpieczeństwa? Sprawdź swoją wiedzę - za pomocą 15 pytań na stronie silicon.de