Reddet av kodefeil
Derfor ble ikke Android rammet av Heartbleed-hullet.
Å lage noe idiotsikkert betyr som regel bare at kvaliteten på idiotiet øker. Unntaket er når en feilkodet implementering av OpenSSL-biblioteket faktisk gjorde at tidenes største sikkerhetshull i en sikkerhetsprogramvare ikke rammet noen Android-enheter.
Kodingsfeil møter kodingsfeil
Dette er nok en avsløring av hvor mye dårlig it-håndverk som ble gjort av utviklere og som gjorde Heartbleed-angrepet mulig. Men konsekvensen var at godt håndverk berget dagen.
Det er sikkerhetsfirmaet FireEye som sjekket statusen til 54.000 Android-app-er 10. april, to dager etter at alarmsirenene om Heartbleed hadde gått av.
Flere spill og kontorstøtte-app-er viste seg å ha sikkerhetshullet, blant annet fordi de hadde valgt sin egen variant av OpenSSL og ikke den som lå i Android. Dermed kan Heartbleed brukes til å angripe app-er, for eksempel spill-app-er. Slike angrep forsøker å få ut brukernavn og autentiseringer mot brukerkonti. Slik informasjon kan brukes til å tappe kredittkort.
Falt tilbake til sikkerhet
Etterforskerne til FireEye oppdaget at kun var spillene som var utsatt. Flere av kontorstøtte-app-ene hadde fått en variant av OpenSSL som innehold en annen feil, og denne feilen hindret Heartbleed i å kjøre.
- Når vi undersøkte nærmere, fant vi enten en elementær feil i basiskoden, eller en passasjer med død kode som ikke hadde noen funksjon. Dermed ville app-en automatisk sjalte ut app-koden og heller ta i bruk det innebygde OpenSSL-biblioteket i selve AndroidOS, skriver FireEye i sikkerhetsrapporten, ifølge nyhetstjenesten til Computerworld.
Android i seg selv var ikke rammet av sikkerhetshullet, siden implementeringen Google hadde valgt for OpenSSL ikke hadde Heartbleed-sårbarheten. Dermed sto markedslederen for smarttelefoner og nettbrett med en fjær i hatten på sikkerhetsfeltet. Det trengs, selv om det ikke er store fjærkvasten det er snakk om.
Unntaket er enheter som kjører AndroidOS 4.1.1, som må oppdateres for å være sikker mot angrep.
Mer Heartbleed-bråk i vente
Nyhetstjenesten melder også at 18 universiteter i USA har opplevd en bølge av cyber-angrep i kjølvannet av Heartbleed-krisen. Årsaken er ikke hullet i seg selv. Men kriminelle hackere bruker muligheten som ligger i at sikkerhetssøkelyset er rettet et annet sted. De angriper derfor med andre metoder og kjente hull og sårbarheter, eller de går direkte mot brukere som har hørt om Heartbleed og bruker sosial manipulering til å få ut eksisterende brukernavn og passord til tjenester i intern-nettene («phishing»).