iOS-приложениям не страшна уязвимость Heartbleed

Heartbleed — уязвимость в криптографической open-source-библиотеке OpenSSL, обнаруженная 7 апреля фирмой Codenomicon. Она позволяет индивидуальным злоумышленникам и целым спецслужбам получать доступ к ключу шифрования и читать трафик между клиентом и сервером. Мы уже писали об очень похожей уязвимости в SSL-протоколе, обнаруженной на iOS в феврале. Но в случае с Heartbleed это хорошая новость: так как iOS использует SSL (а не OpenSSL), Heartbleed-тревоги на iOS-устройства не распространяются. Об этом компания Apple сообщила в официальном заявлении сайту Re/Code.

«Мы очень серьезно относимся к вопросам безопасности. iOS и OS X не использовали уязвимое ПО, и на наши ключевые веб-сервисы уязвимость не повлияла», — сообщают представители Apple. Про то, что iOS и OS X использовали другое уязвимое ПО, представители благоразумно умолчивают. Это не значит, что ваши пароли и финансовая информация на iPad и iPhone в полной безопасности: злоумышленник может получить к ним доступ, успешно атаковав уязвимый для Heartbleed сервер. Рекомендуется вообще прекратить использовать самодельные пароли для веб-сервисов и приложений и обзавестись приложением, автоматически генерирующим пароли.

Но из iOS-приложений уязвимым для Heartbleed пока оказался только недоступный в России мессенджер BBM (и компания BlackBerry признается в том, что не знает, как эту уязвимость закрыть). В целом Heartbleed-багу были подвержены две трети интернет-сервисов. Google, Facebook, Instagram, YouTube и Википедия уже накатили патчи (но поменять пароли это не мешает). У Twitter, eBay и PayPal уязвимость не обнаружилась (там использовались другие версии протокола шифрования).

Читайте о мобильных приложениях в нашем разделе APPS. Новые материалы — каждый день.