הארטבליד מכה שנית: באג נוסף מאיים על סמארטפונים ורשתות אלחוטיות
חוקר אבטחת מידע פורטוגזי טוען כי מצא פירצה נוספת הקשורה להארטבליד. האיום העיקרי מהבאג החדש הוא האפשרות לפרוץ למכשירים ורשתות ללא ידיעת המשתמשים
דו"ח שפורסם בסוף השבוע על ידי חוקר אבטחת המידע לואיס גרנג'יה קובע כי הארטבליד, אותה פירצה שדווחה לפני כחודשיים ושאיפשרה השתלטות של האקרים על חשבונות משתמשים ויירוט של תקשורת מוצפנת עם אתרי אינטרנט קיימת גם בציוד רשתות. כך על פי דיווח של אתר The Verge.
- הארטבליד: הלב של האינטרנט ממשיך לדמם
- האקר נעצר בחשד לניצול פרצת הארטבליד
- ה-NSA ידעה על Heartbleed - וניצלה אותה כדי לחדור לאתרים מאובטחים
הבאג מאפשר לפרוץ למכשירים של המשתמשים שמחוברים לרשת דרך נתב, זאת תוך עקיפה של אמצעי אבטחה וזיהוי כגון שם משתמש וסיסמה. גרנג'יה טוען כי הבאג מאפשר להאקר לראות את זיכרון המכשירים שמחוברים לרשת ולקבל גישה למידע רגיש כגון שמות משתמשים וסיסמאות לשירותים אליהם מתחבר המשתמש של המכשיר.
פרצת Cupid מאיימת בעיקר על משתמשי סמארטפונים וטאבלטים
גרנג'יה פרסם דוגמאות לשיטות אותן עלולים האקרים לנצל על מנת לפרוץ למכשירים, והפציר מיצרנים ואדמיניסטרטורים להקשיח את מדיניות הגישה לרשתות שלהם. לא ברור איזה ציוד רשתות חשוף לבאג החדש שמכונה בינתיים Cupid, אך אם הוא תואם למספרים של הארטבליד הרי שהמספר כנראה גבוה מאוד.
המטרות העיקריות כוללות ציוד רשתות המסתמך על גישה בעזרת שם משתמש וסיסמה (EAP), כגון רשתות אלחוטיות ומכשירי סמארטפון וטאבטלים במצב של נקודת גישה אישית. למרות זאת אין מדובר בנקודת תורפה מסוכנת כמו הארטבליד המקורי שהתבסס על חולשה בפרוטוקולי ההצפנה OpenSSL ו-TLS, זאת מכיוון שעל מנת למצל את החולשה החדשה על המכשיר להיות מחובר לרשת הבעייתית.
מומחי אבטחת מידע רבים טוענים כי ההשפעות של הארטבליד יורגשו עוד שנים רבות בעתיד. מיליוני מכשירים עדיין מריצים את גרסת אנדרואיד 4.1.1 הסובלת מהפירצה, ביניהם גרסאות מסויימות של HTC One.
