انتشار اطلاعاتی در مورد وجود یک باگ موسوم به خونریزی قلبی،
هیاهوی بسیاری را در فضای وب ایجاد کرده است؛ بطوریکه اطلاعات بسیاری از
کاربران به واسطهی استفاده از سرویسهای اینترنتی متأثر از این باگ، در
معرض خطر قرار دارد. اما کاربران سیستمعاملهای اپل از جمله ابزارهای
مبتنی بر iOS و OS X میتوانند نفس راحتی بکشند؛ چراکه از خطر این باگ مصون
هستند؛ به شرطی که از BBM یا بلکبری مسنجر استفاده نکنند.
به گزارش سافت گذر به نقل از زومیت، محصولات اپل مشکلی را از جانب باگ موجود به خود نمیبینند و نیازی به
پچهای ارائه شده به منظور ترمیم ایراد موردنظر در سرورها، روترها و سایر
محصولاتی که از OpenSSL برای پیادهسازی استاندارد SSL/TLS استفاده
میکنند، نیازی ندارند.
اپل در این مورد به Re/code چنین گفته است:
اپل حساسیت زیادی به موارد امنیتی دارد. iOS و OS X هیچگاه از یک
اپلیکیشن آسیبپذیر و سرویسهای وبی که در معرض خطر باشند استفاده نمیکند.
اپل از کتابخانههای متفاوتی برای پیادهسازی استاندارد SSL/TLS بهره
میگیرد که SecureTransport نام دارد. این استاندارد در بهمن ماه با یک
مشکل امنیتی روبرو شده بود که اپل آن را سریعاً رفع کرد؛ هرچند این مشکل به
اندازهی خونریزی قلبی خطرناک نبود.
در مورد مشکل پیش آمده برای SecureTransport، این استاندارد امضای ارسال
شده در TLS Server Key Exchange را بررسی نکرده و از اینرو کاربران OS X و
iOS در معرض حملات اسپوفینگ قرار گرفته و اطلاعات خصوصی آنها به سرقت
میرفت. این باگ منجر به از دسترفتن اطلاعات شماری از کاربران ابزارهایی
مبتنی بر iOS 6، iOS 7 و همچنین OS X کمپانی اپل شد.
معادلات در مورد باگ خونریزی قلبی به گونهای دیگر است. این باگ هر چیزی
را که در از طریق استاندارد SSL محافظت میشود را در معرض خطر قرار میدهد
که شامل رمزهای عبور، کلیدهای اختصاصی و سایر اطلاعات حساس از قبیل جزئیات
کارتهای اعتباری است.
بلکبری اذعان کرده است که بخشی از محصولات این کمپانی از قبیل اپلیکیشن
مسنجر بلکبری که برای اندروید و iOS عرضه شده، تحت تأثیر باگ خونریزی
قلبی قرار گرفته است. BBM در حدود 80 میلیون کاربر دارد.
از دیگر محصولات بلکبری که باگ خونریزی قلبی آنها را در معرض خطر قرار
داده است شامل محصول جدید این کمپانی برای سامسونگناکس، فضای امن کاری
iOS ، اندروید و بلکبری لینک برای ویندوز و مک است.
بلکبری هنوز با استفاده از پچهای امنیتی سرویسهای خود را ترمیم نکرده
است؛ اما نکتهی منفی در مورد این کمپانی عدم در پیشگرفتن اقدامات مناسبی
در راستای پیشگیری از خطرات احتمالی ناشی از این باگ است.
براساس اطلاعات ارائهشده توسط بلکبری، برخی از محصولات کلیدی این
کمپانی که شامل تلفنهایهوشمند، بلکبری اینترپرایز سرور 5 و بلکبری
اینترپرایز 10 است، تحت تأثیر این باگ خطرناک قرار نگرفتهاند.
گوگل دیروز اعلام کرد که اندروید 4.1 آبنباتپاستیلی نیز از این مشکل
امنیتی متاثر شده و از اینرو گوگل در حال توسعهی پچی برای رفع مشکل پیش
آمده برای اندروید است.
هنوز مشخص نیست که چه تعداد ابزار اندرویدی مجهز به نسخهی 4.1
آبنباتپاستیلی است؛ اما براساس آخرین آمارهای موجود در حدود 35 درصد از
ابزارهای اندرویدی از نسخهی 4.1 سیستمعامل اندروید استفاده میکنند.
به بیان بهتر، آسیبپذیری بخش کوچکی از این ابزارها نیز تعداد بالایی
از ابزارهای اندرویدی را شامل میشود و در صورتی که نیاز به بروزرسانی
ابزارهای اندرویدی با استفاده از یک پچ باشد، گوگل با مشکلات عدیده ای
روبرو است؛ چراکه شرکای سختافزاری غول جستجو در مورادی همچون ارائهی
بروزرسانی برای تلفنهایهوشمند خود آنچنان سریع عمل نمیکنند.
مایکروسافت دیروز تأیید کرد که سرورهای اَژور این کمپانی به دلیل
استفاده از کامپوننت رمزگذاری اختصاصی ردموندیها با نام Secure Channel از
خطرات موجود این باگ در امان مانده است.
آمازون دیگر کمپانی بزرگی است که دیروز تأیید کرد سرورهای آن تحتتأثیر
این باگ امنیتی قرار گرفته است. براساس اطلاعات ارائه شده توسط آمازون
افرادی که از سرویسهای ELB، EC2، OpsWorks، Elastic Beanstalk و
CloudFront استفاده میکنند، تحت تاثیر این باگ امنیتی قرار گفتهاند.
فایرفاکس نیز روز چهارشنبه اعلام کرد که پروژهی احراز هویت این کمپانی،
پرسونا و حسابهای کاربری فایرفاکس تحتتأثیر باگ موسوم به خونریزی قلبی
قرار گرفته است.
ابزارهایی هستند که میتوان با استفاده از آنها به بررسی سایتهایی
پرداخت که نشان میدهد آیا وبسایتی تحتتأثیر این باگ امنیتی قرار گرفته
است یا نه. از جملهی این سرویسها میتوان به Heartbleed Test، LastPass Heartbleed Checker یا Qualys SSL Labs Test اشاره کرد.