Heartbleed açığı konusunda sıcak gelişmeler yaşanmaya devam ediyor. Yahoo Mail servisini ve Kanada Gelir İdaresi’ni de etkilediği tespit edilen açığın etki alanı giderek genişliyor. Bu kervana katılan servislerden birisi de Google’ın Android 4.1.1 işletim sistemi oldu. Android 4.2.2 işletim sisteminin de taşıyıcı veya cihaz üreticisi tarafından modifiye edilmiş bazı versiyonlarında sorun yaşanabileceği açıklanıyor. Aynı sorun BlackBerry’nin iOS, Mac, OS X, Android ve Windows mesajlaşma uygulamasında da tespit edilmiş ve BlackBerry bir güvenlik güncellemesi yayınlamıştı.
Geçtiğimiz hafta OpenSSL’de bulunan güvenlik açığıyla ilgili dün bir yazı hazırlayarak bu konudaki gelişmeleri özetlemiştik [1]. Ancak Heratbleed açığı olarak adlandırılan bu konuda her gün yeni gelişmeler yaşanmaya devam ediyor. Söz konusu açığın Android işletim sisteminin 4.1.1 ve kısmen 4.2.2 versiyonlarını da etkilediği ortaya çıktı. Google bu konuyla ilgili henüz bir açıklama yayınlamazken, güvenlik araştırmacıları OpenSSL açığının giderilmiş olması nedeniyle mevcut riskin nispeten düşük olduğu ancak mutlaka güncelleme yapılması gerektiğini söylüyorlar.
Güvenlik araştırmaları yapan ve Android cihazlar için antivirüs çözümleri sağlayan Lookout Mobile firması, Heartbleed Detector adlı bir mobil uygulama yayınlamış durumda ve bu uygulama sayesinde cep telefonunuzun risk altında olup olmadığını görebiliyorsunuz. Lookout Mobile firması, güncelleme alamayan Android telefonlar için riskin önemli olduğunu ve kullanıcıların özellikle mobil bankacılık gibi işlemler konusunda son derece dikkatli olmaları gerektiğini açıklıyor.
Öte yandan geçtiğimiz günlerde Heartbleed açığının tarayıcılar için de ciddi bir risk olabileceği ve bu açık vasıtasıyla MITM benzeri saldırılar yapılabileceği ileri sürülmüştü. Güvenlik analistleri yaptıkları açıklamalarda büyük tarayıcı firmalarının HTTPS güvenli bağlantı modüllerinde OpenSSL kullanmadıklarını dolayısıyla PC kullanıcıları için tarayıcı kaynaklı risklerin minimum olduğunu açıklıyorlar. Ancak tuzaklı sitelerin hala sorun yaratabileceğini de göz ardı etmemek gerekiyor.
[1]-NSA, OpenSSL Açığını Kullandığı Konusunda Yalanlama Yayınladı Ancak Şüpheler Sürüyor