Android端末にHeartbleedの脆弱性があるかどうか診断する方法

Android端末にHeartbleedの脆弱性があるかどうか診断する方法 1

ネット震撼のバグHeartbleedで情報盗まれたら堪らないのでサイトのパスワードは変えたけど、Androidはどうしたらいいの? そんな人のために便利なツールが出ましたよ。

シマンテック日本版)によると、大多数のブラウザはHTTPS実装でOpenSSLの暗号ライブラリを使っていないので被害はないとのことですが、Android OSはそうはいかないようです。Ars Technicaはこう書いてます。

一番ありえるシナリオは、罠を仕掛けたサイトに誘導してリクエスト強要(CSRF:Cross-site Request Forgery)したり、銀行や個人情報を扱うサイトが別タブで開いたりする攻撃だ。[…]実行が簡単なもので、脆弱性のあるAndroidブラウザに悪玉コマンドを注入し機密情報が返ってくるのをただ待つ、という攻撃手段もある。

Androidはいろんなバージョンや改造版が出てるので見極めが難しいのですが、モバイルセキュリティ会社Lookout Mobileから出た無料診断アプリHeartbleed Detector」をダウンロードして走らせれば、以下の2点がその場ですぐわかります。

・Heartbleedの脆弱性を含むバージョンのOpenSSLが入ってる端末かどうか

・コードがバグってるHeartbeet機能が有効になってるかどうか

脆弱性のあるOpen SSLのバージョンが入ってなければセーフだし、入っていてもHeartbeet機能が有効になっていなければ安全なはずです。アウトと出た人はOSに修正パッチが出るまで、トリックに引っかからないように気をつけましょうね。

image by senza senso under Creative Commons license.

source: Heartbleed Detector via Ars Technica

Jamie Condliffe - Gizmodo US[原文](satomi)