Kraujuojančios širdies klaida leidžia programišiui, siunčiant tam tikras užklausas į serverį, gauti informaciją iš apsaugotų sistemų, pradedant naudotojų vardais ir slaptažodžiais, baigiant duomenų bazių turiniu. Tai atliekama automatiškai, o serverio prižiūrėtojas įsilaužimo nė nepastebi – sistemai atrodo, kad užklausos yra patikimos.
„OpenSSL“ protokolą naudoja apie du trečdaliai visų interneto paslaugų, pradedant „Google“ ir „Facebook“, baigiant smulkesniais tinklalapiais. Tiesa, didžiosios svetainės klaidą ištaisė dar prieš paviešinant informaciją apie ją, nes įspėjimai jų IT specialistams buvo išplatinti keliomis dienomis anksčiau. Mažesnės taip pat suskubo tuo pasirūpinti.
Pažeidžiami milijonai įrenginių
Tačiau paaiškėjo, kad Kraujuojančios širdies klaidai liko neatsparūs kai kurie įrenginiai. Pirmą vietą šiame sąraše užima „Google“ prižiūrima operacinė sistema „Android“, konkrečiau – jos versija „Android 4.1.1“, skelbia „The Huffington Post“.
„Android 4.1.1“ versija yra įdiegta mažiau nei 10 proc. visų „Android“ įrenginių. Kitaip sakant, visame pasaulyje yra per 50 mln. pažeidžiamų įrenginių.
Kompanijos tinklaraštyje nurodoma, kad partneriams jau išplatintas atnaujinimas, užlopantis saugumo spragą. Tad jei naudojate „Android 4.1.1“ operacinę sistemą (tai galite patikrinti įrenginio nustatymuose, skiltyje „Apie telefoną“) ir artimiausiu metu sulauksite programinės įrangos atnaujinimo, nedvejodami jį įsidiekite.
Iki tol įrenginius su „Android 4.1.1“ operacinės sistemos versija turintiems vartotojams patariama vengti jautrių duomenų persiuntimų, nes programišiai gali pasinaudoti šia spraga ir juos perimti. „Visas įrenginys yra pažeidžiamas, taigi turėtumėte atsargiai rinktis svetaines, kurias naudojate, – sakė mobiliojo saugumo kompanijos „Lookout“ ekspertas Marcas Rogersas. – Aš vengčiau jungtis prie interneto bankininkystės sistemų telefonu.“
Interneto parduotuvių svetainėse nurodoma, kad „Android 4.1.1“ yra įdiegta tokiuose telefonuose, kaip „Sony Xperia E“, „HTC One S“, „Huawei Ascend Y300“ ir „Asus PadFone 2“.
Atnaujinimą ruošia ir „BlackBerry“ – ši kompanija išsiaiškino, kad pažeidžiama yra jos programėlė „BBM Messaging“, tad jos naudotojai artimiausiu metu turėtų sulaukti klaidos ištaisymo.
„Apple“ ir „Microsoft“ produktams Kraujuojančios širdies klaida tiesioginės grėsmės nekelia, nes šios kompanijos nenaudoja „OpenSSL“ protokolo.
M.Rogerso teigimu, artimiausiu metu gali būti paskelbta ir apie kitus įrenginius, kuriems pavojų kelia Kraujuojanti širdis, nes klaidą turinti protokolo versija yra plačiai naudojama. Pavyzdžiui, ji gali būti aktuali kai kurių išmaniųjų televizorių savininkams.
Atsarga gėdos nedaro
Saugumo specialistai nesutaria dėl būtinybės pasikeisti interneto tarnybų slaptažodžius: vieni teigia, kad to daryti nebūtina, nes nepanašu, kad klaida kas nors pasinaudojo prieš paviešinant informaciją apie tai. Kitų nuomone, kadangi neįmanoma nustatyti, ar klaida buvo pasinaudota, slaptažodžius pasikeisti patartina.
Bet kokiu atveju, atsarga gėdos nedaro. Be to, slaptažodžius internete patariama keisti kuo dažniau (bent kartą per metus), tad kodėl to nepadarius dabar?
Taip pat primename nenaudoti to paties slaptažodžio skirtingose svetainėse. Antraip į vieną jūsų profilį įsilaužęs asmuo, išbandęs tą patį slaptažodį kitur, galės perimti visą jūsų virtualų gyvenimą.
Parengė Gediminas Gasiulis
