"Обратен Heartbleed" - четене паметта на клиентските компютри

По време на ъпдейта на своите сървъри за премахване на Heartbleed-уязвимостта, компанията Meldium забелязала нещо странно: някои уеб-сайтове, в това число и много популярни, остават уязвими и след инсталиране на актуализациите. Оказало се, че това е специфичен вариант на атаката, който може да бъде наречем "обратен Heartbleed".

Вниманието на тестващите специалисти по информационна защита е било привлечено от най-логичният вариант за използване на тази уязвимост, при който злонамерен клиент атакува даден HTTPS-сървър и копира от оперативната памет бисквитките, паролите и сертификатите. Но съществува и обратен сценарий, при който специално настроен сървър изпраща Heartbeat-пакети по TLS и прочита съдържанието на оперативната памет на клиентските компютри. Действително, TLS Heartbeat е симетричен протокол, който предвижда генерирането на пакети и от двете страни.Към тази атака са уязвими обикновените уеб-браузъри и дриги приложения, използващи HTTP API (всички, от Dropbox до Microsoft Office), както и много мобилни приложения за Android, iOS и други мобилни платформи. За успешна атака е достатъчно да се прехвърлят запитванията на клиентската машина към вредоносен уеб-сървър, което може да стане чрез MiTM в откритите хот-спот точки, локални мрежи или хакнати маршрутизатори.За проверка наличието на "обратен Heartbleed" може да се използва например онлайн-услугата за генериране на вредоносни препратки ReverseHeartbleed.com.