Appleov iOS, OS X nemaju Heartbleed bug, ali BBM za iOS i Android ima

Korisnici iOS-a i OS X-a mogu odahnuti sa spoznajom da njihovi uređaji nisu pogođeni katastrofom OpenSSL Heartbleed sigurnosni propust — ali ako koriste BBM za stvarno privatne poruke na iOS-u, možda će htjeti odmah prestati sada.

Apple proizvodi ne pate od buba to je potaknulo a dobar dio interneta utrkivati ​​zakrpe za popravak web poslužitelja, sigurnosnog hardvera, usmjerivača i drugih proizvoda koji se oslanjaju na OpenSSL implementaciju SSL/TLS standarda za sigurnu web komunikaciju.

“Apple vrlo ozbiljno shvaća sigurnost. IOS i OS X nikada nisu uključili ranjivi softver i ključne web usluge nisu bile pogođene," Apple je rekao za Re/code.

Apple koristi različite SSL/TLS biblioteke tzv SecureTransport, koja je pogođena svojima vrlo ozbiljan bug u veljači — iako nije bilo tako opasno kao Heartbleed.

U Appleovom slučaju SecureTransport nije ispravno provjeravao potpis u poruci razmjene ključeva TLS poslužitelja, zbog čega su korisnici iOS-a i OSX-a bili izloženi napadačima koji lažiraju SSL poslužitelje kako bi izveli napad "čovjek u sredini" i uhvatili privatne podatke. Ta je pogreška zahvatila više verzija iOS-a 6 i iOS-a 7, kao i OS X.

Nasuprot tome, Heartbleed dovodi u opasnost gotovo sve koji je zaštićen OpenSSL enkripcijom, uključujući lozinke, privatne ključeve i druge osjetljive detalje kao što su podaci o kreditnoj kartici. (Kao što je primijetio komentator, korisnici iOS-a i OSX-a još uvijek mogu biti pogođeni napadom na ranjivi poslužitelj.)

BlackBerry ima sada potvrđeno da je nekoliko njegovih proizvoda, uključujući BBM za iOS i Android, pogođeno Heartbleedom. BBM ima oko 80 milijuna korisnika.

Ostali proizvodi BlackBerryja koji su pogođeni uključuju njegovog konkurenta Samsungovom Knoxu, Secure Work Space za iOS i Android te BlackBerry Link za Windows i Mac OS.

BlackBerry još nema zakrpu ni za jedan od proizvoda, ali što je još gore, "nema ublažavanja" za ranjivost u BBM-u ili Secure Work Spaces.

Međutim, BlackBerry je primijetio da je nedostatak "netrivijalan" za iskorištavanje. Ipak, korisnicima bi moglo biti mudro pogriješiti na strani opreza i izbjegavati aplikacije ako mogu dok tvrtka ne dobije zakrpu.

BlackBerryjevi osnovni proizvodi, uključujući BlackBerry pametne telefone, BlackBerry Enterprise Server 5 i BlackBerry Enterprise Service 10 nisu pogođeni, rečeno je.

Google jučer potvrđeno da je zahvaćen Android 4.1.1, Jelly Bean greškom i razvijao je zakrpu i distribuirao je Android partnerima.

Nije jasno koliko Android 4.1.1 uređaja postoji, ali prema Googleovoj nadzornoj ploči za distribuciju Androida 4.1.x čini oko 35 posto svih Android uređaja.

Drugim riječima, čak i mali dio toga i dalje bi mogao značiti vrlo velik broj Android uređaja koji trebaju patching — a kada je u pitanju patching, Googleovi Android partneri nisu imali dobre rezultate u požurivanju van.

Microsoft je jučer potvrdio da pogreška nije zahvaćena Azureom i da Windows dolazi s Microsoftovom vlastitom komponentom za šifriranje pod nazivom Secure Channel, aka SChannel.

Međutim, gigant u oblaku Amazon potvrdio je da je pogođen, što je imalo utjecaja na sve koji su koristili ELB, EC2, OpsWorks, Elastic Beanstalk i CloudFront.

Mozilla objavio je u srijedu da je njegov projekt federalne autentifikacije identiteta, Persona i Firefox račun pogođen Heartbleedom. Njihovi poslužitelji radili su u AWS-u dok su šifrirane TLS veze završavale na AWS ELB-u koristeći OpenSSL.

Postoji niz alata koji se mogu koristiti za provjeru koja su određena mjesta pogođena, uključujući Test krvarenja srca, LastPass Heartbleed alat za provjeru, ili Qualys SSL Labs test.

Pročitajte više na Heartbleedu

• Kako se oporaviti od Heartbleeda
• Proizvodi Cisco, Juniper pogođeni Heartbleedom
• Kako se zaštititi od naknadnih potresa Heartbleeda
• Tvrtke moraju obavijestiti korisnike o izloženosti Heartbleedu