Heart Bleed ってクライアントも影響を受けるんだね・ω・
少し古いニュースですが、リバースハートブリード脆弱性というのがあるのを初めて知った次第。
Android 4.1.1のリバースHeartbleed脆弱性
| Heartbleedに関する警告は当初,最も直接的なシナリオ,すなわちクッキーや秘密鍵などの機密情報をHTTPサーバから盗もうとする,悪意を持ったクライアントによる攻撃を重点的に考えたものだった。 |
うん、私もそう思っていた・ω・
| しかし残念ながら,セキュリティ企業のMeldiumが言うようにTLS heartbeatには対称性があるため,クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性があるのだ。したがって,悪意を持ったサーバがパッチされていないクライアントに不正なheartbeatを送信することで,クライアントの重要なデータを取得されることも考えられる。 |
な、なんだってー!?そうだったのかー Σ・ω・ ・ω・ ・ω・
でも、接続先が決まってるソフトならあんまり影響なさそうだね。
ブラウザがOpenSSL利用してる場合はまずいんでしょうが。
リバースHeartbleed(Reverse Heartbleed)を検証してみた。 - 生存報告
実際に検証してるサイトがあったよ。
<OpenSSL欠陥>国内のスマホ6機種 OSに問題 (毎日新聞) - Yahoo!ニュース
結構、OpenSSL 1.0.1f組込み済みのスマートフォンってあったんですね。
Translate
Comments