วีดีโอ: à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸© (ธันวาคม 2024)
ในเดือนเมษายนเราได้เรียนรู้ว่าข้อผิดพลาดในไลบรารีรหัส OpenSSL ที่เป็นที่นิยมอาจทำให้ผู้โจมตีสามารถเพิ่มหน่วยความจำจากเซิร์ฟเวอร์ที่ปลอดภัยซึ่งคาดคะเนได้ ขนานนาม "Heartbleed" ข้อผิดพลาดนี้มีอยู่หลายปีก่อนที่จะถูกค้นพบ การอภิปรายส่วนใหญ่ของข้อผิดพลาดนี้สันนิษฐานว่าแฮ็กเกอร์จะใช้มันกับเซิร์ฟเวอร์ที่ปลอดภัย อย่างไรก็ตามรายงานใหม่แสดงให้เห็นว่าสามารถใช้ประโยชน์จากทั้งเซิร์ฟเวอร์และอุปกรณ์ปลายทางที่ใช้ Linux และ Android ได้อย่างง่ายดาย
Luis Grangeia นักวิจัยที่ SysValue ได้สร้างไลบรารี่รหัสพิสูจน์แนวคิดซึ่งเขาเรียกว่า "คิวปิด" คิวปิดประกอบด้วยแพตช์สองตัวสำหรับไลบรารี่โค้ดของ Linux หนึ่งอนุญาตให้ "เซิร์ฟเวอร์ที่ชั่วร้าย" เพื่อใช้ประโยชน์จาก Heartbleed บนไคลเอนต์ Linux และ Android ที่มีช่องโหว่ในขณะที่อื่น ๆ ที่อนุญาตให้ "ลูกค้าที่ชั่วร้าย" โจมตีเซิร์ฟเวอร์ Linux Grangeia จัดทำซอร์สโค้ดให้ใช้ได้ฟรีโดยหวังว่านักวิจัยคนอื่นจะเข้าร่วมเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับประเภทของการโจมตีที่เป็นไปได้
ไม่ทั้งหมดมีความเสี่ยง
คิวปิดทำงานโดยเฉพาะกับเครือข่ายไร้สายที่ใช้ Extensible Authentication Protocol (EAP) เราเตอร์ไร้สายภายในบ้านของคุณแทบจะไม่ได้ใช้ EAP แต่โซลูชันระดับองค์กรส่วนใหญ่ทำ จากข้อมูลของ Grangeia แม้แต่บางเครือข่ายใช้สาย EAP และด้วยเหตุนี้จะมีความเสี่ยง
ระบบที่ติดตั้งรหัสกามเทพมีสามโอกาสในการรับข้อมูลจากหน่วยความจำของเหยื่อ มันสามารถโจมตีได้ก่อนที่จะทำการเชื่อมต่อที่ปลอดภัยซึ่งเป็นเรื่องที่น่าตกใจ มันสามารถโจมตีได้หลังจากจับมือกันซึ่งสร้างความปลอดภัย หรือสามารถโจมตีได้หลังจากแชร์ข้อมูลแอปพลิเคชันแล้ว
สำหรับสิ่งที่อุปกรณ์ที่ติดตั้งกามเทพสามารถจับภาพได้ Grangeia ไม่ได้พิจารณาอย่างกว้างขวางถึงแม้ว่า "การตรวจสอบคร่าวๆพบสิ่งที่น่าสนใจทั้งในไคลเอนต์และเซิร์ฟเวอร์ที่มีช่องโหว่" ไม่ว่า "สิ่งที่น่าสนใจ" นี้อาจมีคีย์ส่วนตัวหรือข้อมูลรับรองผู้ใช้หรือไม่ สาเหตุส่วนหนึ่งของการปล่อยซอร์สโค้ดคือเพื่อให้สมองทำงานได้มากขึ้นในการค้นหารายละเอียดดังกล่าว
คุณทำอะไรได้บ้าง?
ทั้ง Android 4.1.0 และ 4.1.1 ใช้ OpenSSL เวอร์ชันที่มีช่องโหว่ ตามรายงานจาก Bluebox เวอร์ชันที่ใหม่กว่ามีความเสี่ยงทางเทคนิค แต่ระบบการส่งข้อความ heartbeat ถูกปิดใช้งานทำให้ Heartbleed ไม่มีสิ่งใดที่จะใช้ประโยชน์
หากอุปกรณ์ Android ของคุณกำลังใช้งาน 4.1.0 หรือ 4.1.1 ให้อัพเกรดถ้าเป็นไปได้ ถ้าไม่ Grangeia แนะนำว่า "คุณควรหลีกเลี่ยงการเชื่อมต่อกับเครือข่ายไร้สายที่ไม่รู้จักเว้นแต่คุณจะอัพเกรด ROM ของคุณ"
ระบบ Linux ที่เชื่อมต่อผ่านเครือข่ายไร้สายนั้นมีช่องโหว่เว้นแต่ว่า OpenSSL ได้รับการติดตั้งแล้ว ผู้ที่ใช้ระบบดังกล่าวควรตรวจสอบอีกครั้งเพื่อให้แน่ใจว่ามีการแก้ไข
สำหรับเครือข่ายองค์กรที่ใช้ EAP นั้น Grangeia แนะนำให้พวกเขาทดสอบระบบโดย SysValue หรือหน่วยงานอื่น
Macs, Windows boxes และอุปกรณ์ iOS จะไม่ได้รับผลกระทบ ครั้งหนึ่งมันเป็น Linux ที่มีปัญหา คุณสามารถอ่านโพสต์แบบเต็มของ Grangeia ที่นี่หรือดูการนำเสนอสไลด์โชว์ที่นี่ หากคุณเป็นนักวิจัยด้วยตัวเองคุณอาจต้องการคว้ารหัสและทำการทดลองเล็กน้อย