عدم آسيب پذيري برخي برنامه ها ي اندرويد به دليل خطاي برنامه نويسي

شماره: IRCNE2014042173
تاريخ:06/02/93

برخي برنامه هاي كاربردي اندرويد كه به نظر مي رسيد نسبت به مشكل HeartBleed آسيب پذير باشند به دليل يك خطاي برنامه نويسي متداول در روش پياده سازي كتابخانه OpenSSL محلي خودشان، از اين آسيب پذيري مصون ماندند.
شركت FireEye، 54000 برنامه كاربردي اندرويد كه دهم آوريل بر روي فروشگاه گوگل پلي قرار داشتند را به منظور يافتن آسيب پذيري HeartBleed مورد بررسي قرار داد.
اين شركت امنيتي دريافت كه برخي بازي ها و برنامه هاي كاربردي تلفن همراه كه مبتني بر آفيس هستند، نسبت به اين مشكل آسيب پذير مي باشند زيرا اين برنامه ها به جاي استفاده از كتابخانه تعبيه شده در سيستم عامل اندرويد از كتابخانه OpenSSL خودشان استفاده كرده اند. شركت گوگل اعلام كرد كه بسياري از برنامه هاي اندرويد از اين مشكل در امان بودند.
حفره HeartBleed، يك آسيب پذيري سرريز بافر مي باشد كه باعث افشاي اعتبارنامه هاي ورودي كاربران و داده هاي حساس از قبيل كليد خصوصي براي گواهينامه هاي SSL مي شود.
در نگاه اول، تعدادي از برنامه هاي آفيس اندرويد آسيب پذيري به نظر مي رسند اما محققان دريافتند كه يك خطاي برنامه نويسي متداول نيز باعث شده است تا اين برنامه ها تحت تاثير اين آسيب پذير قرار نگيرند. بررسي هاي دقيق تر نشان مي دهد كه اين برنامه ها در بخشي از برنامه نويسي حاوي اشكال مي باشند يا از كدهاي قديمي در آن ها استفاده شده است. بنابراين، هنگامي كه به توابع SSL نياز است، به جاي استفاده از كتابخانه آسيب پذير موجود در برنامه، به طور مستقيم از كتابخانه OpenSSL بدون آسيب پذيري كه در سيستم عامل اندرويد قرار دارد استفاده مي كنند.