Аннотация переводчика
Мой топик должен восполнить некий пробел в теме «Чем грозит Heartbleed простому пользователю», благодарю FFF за пост: habrahabr.ru/post/219151
Уязвимости клиентов никто не отменял. Но если топовые платёжные сервисы реагируют в течение суток, то как долго ждать обновлений от производителя смартфона или, скажем, «умного» ТВ? Нехороший сайт сможет запросто выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком умного телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать веб-страницы (включая ваш домашний Linux), и при этом обрабатывающее конфиденциальные данные — это цель, и порой на долгие годы.
Даю вам перевод статьи Роба Ванденбринка (Rob VandenBrink) целиком, это не заняло много времени.
Другая сторона Heartbleed: уязвимости клиента
Нам сообщают о клиентских приложениях, уязвимых к угрозе Heatbleed. Как и в случае с серверными приложениями, уязвимость клиентов определяется версией OpenSSL.
Думаете, очередной случай из серии «ждите исправлений»? Обновление произойдёт тогда, когда вендор… так, погодите-ка. А когда именно производитель вашего «умного» телевизора обещал выпустить исправление для встроенного в ТВ браузера? И когда вы собирались его установить? А как насчёт телевизора у брата жены? Похоже, эта клиентская уязвимость проживёт гораздо дольше всех серверных…
Имеем неприятное сочетание уязвимости Heartbleed со спецификой встраиваемых (embedded) устройств, которые могут не обновляться вообще никогда. Либо они обновляются в течение пары лет после выпуска, а по выходу новой модели производитель просто бросает их на произвол судьбы. Хорошие примеры — домашние роутеры и умные телевизоры, но это могут быть и медицинские устройства.
Весьма солидным дополнением к теме являются устройства Android, которые оператор связи продаёт и обслуживает в обход производителя кода (Google): у таких устройств обновления либо редки, либо их нет вовсе, но используются они широко. Первое, что обычно приходит в голову, это, конечно, банковские онлайн-приложения. В итоге имеем сочетание товара широкого потребления и уязвимости, которая открывает его память почти любому вредоносному (или взломанному) серверу. Это потенциал оружия массового поражения, с долгим жизненным циклом устройства (получаются годы вместо недель или месяцев).
Прочие приложения с шифрованием, которые мы не привыкли считать «клиентами», включают: традиционный софт баз данных, клиентов облачных сервисов, специальные программы-браузеры для развлекательных порталов, даже драйверы устройств. Недостаточно просто сказать «такое-то приложение уязвимо», оно может использоваться на вашем ПК, планшете, смартфоне, ТВ, видеоприставке, тренажёре, холодильнике, климат-контроле — список всё растёт и растёт дальше, в сторону всё более мелких устройств, обновлять которые уж точно никто не собирается.
Вот только некоторые уязвимые приложения (@teleghost: этот перечень упоминался неоднократно, немного дополнен, источники в ссылках):
- MariaDB 5.5.36 (@teleghost: спорно)
- wget 1.15 (раскрывает память более ранних соединений и своего состояния)
- curl 7.36.0
- git 1.9.1 (проверялся clone / push, утечка слабая)
- nginx 1.4.7 (в режиме прокси-сервера, раскрывает память предыдущих запросов) (@teleghost: спорно)
- links 2.8 (раскрывает содержимое предыдущих визитов!)
- Все приложения KDE, использующие KIO (Dolphin, Konqueror)
- AnyConnect for Apple iOS
- Juniper Odyssey 802.1x Client 5.6r5 и более поздний
- Различные версии Junos Pulse VPN Client
- OpenVPN
- ...
Вывод переводчика
Лично моё мнение таково, что в течение нескольких недель или месяцев силы зла будут собирать жирные пенки, сливки и тому подобную сметану с платёжных систем и банковских сервисов, и только после этого переключаться на наш с вами бытовой уровень. Сначала пройдутся по всему, что у нас так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся по рукам, будут просто красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.
Если раньше я понимал, что моим смартфоном может воспользоваться только АНБ, то теперь это может быть любой проходимец средней руки. Уже не так смешно, правда?
Берегите себя.
Ссылки
isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945
security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely
community.openvpn.net/openvpn/wiki/heartbleed