ضعف برنامه نویسی مانع “خونریزی قلبی” برنامه های Android شد

بسیاری از نرم افزارهای کاربردی Android که تصور می شد دارای ضعف امنیتی “خونریزی قلبی” یا Heart-bleed هستند، به دلیل ایراد برنامه نویسی در نحوه اعمال توابع نرم افزار OpenSSL در محصولات خود، از خطر و عواقب این ضعف امنیتی در امان ماندند.

شرکت امنیتی FireEye به فاصله سه روز پس از اعلام عمومی ضعف امنیتی “خونریزی قلبی” در نرم افزار “متن باز” OpenSSL، اقدام به بررسی 54 هزار نرم افزار Android که در فروشگاه اینترنتی Google Play Store عرضه می شوند، کرد. از این تعداد بی شمار، فقط تعدادی محدودی دارای ضعف امنیتی “خونریزی قلبی” بودند. این محصولات آسیب پذیر، همگی از نسخه های استاندارد “متن باز” OpenSSL به جای نسخه اختصاصی سیستم عامل Android OS، در برنامه نویسی خود استفاده کرده بودند.

شرکت Google از همان ابتدای انتشار خبر “خونریزی قلبی” اعلام کرده بود که نسخه اختصاصی OpenSSL در سیستم عامل Android فاقد این ضعف است.

اغلب برنامه نویسان Android به درستی قادر به اعمال توابع OpenSSL استاندارد در محصولات خود نبوده و به دلیل همین ضعف برنامه نویسی، بطور ناخواسته توابع OpenSSL سیستم عامل Android OS را استفاده و اجرا می کنند.

ضعف امنیتی “خونریزی قلبی” در اواسط فروردین ماه سال جاری در نرم افزار OpenSSL کشف و خبر آن به طور عمومی منتشر گردید. این ضعف امنیتی در بخش Heart-beat این نرم افزار وجود دارد و در صورت فعال بودن آن، باعث می شود تا ۶۴KB از حافظه بصورت متن ساده (Plain Text) به هر سرور و یا کاربری که درخواست برقراری ارتباط داشته باشد، ارسال گردد. نامگذاری این ضعف امنیتی نیز از نام بخشی از نرم افزار OpenSSL که این ضعف در آن وجود دارد، اقتباس شده است.

“خونریزی قلبی” در حقیقت یک نقطه ضعف از نوع “سرریز حافظه” یا Buffer Overflow است و باعث می گردد که سرور اطلاعات بیش از اندازه مجاز ارائه کند؛ اطلاعاتی نظیر مجوزهای دسترسی کاربر و کلیدهای خصوصی (Private Keys) برای گواهینامه های دیجیتالی.

همچنین شرکت امنیتی FireEye در بررسی خود 17 نرم افزار Android را در فروشگاه Google Play Store پیدا کرد که همگی مدعی هستند که قادر به شناسایی ضعف امنیتی OpenSSL در نرم افزارها و سرویس های مختلف اینترنتی می باشند. از بین این 17 نرم افزار، فقط 6 محصول می توانستند که نرم افزارهای کاربردی Android را کنترل و بررسی کنند. از این 6 نرم افزار نیز فقط دو محصول توانست بطور کامل تمام نرم افزارهای آسیب پذیر را شناسایی کنند. مابقی محصولات مدعی، تنها ابزارهای تبلیغاتی بودند که به دنبال فریب و وسوسه کاربر و یا نصب نرم افزارهای ناخواسته و مشکوک هستند.