Наследник Heartbleed живёт в WiFi сетях и Android
Несмотря на то, что ошибка Heartbleed была давным-давно залатана, уязвимость, основанная на том же самом эксплоите, была недавно выявлена Льюисом Гранжиа, из информационной компании в области безопасности Sysvalue.
Вариация ошибки, названная Cupid, использует тот же эксплоит, как и оригинальный Heartbleed, однако работает с данными, перехватываемыми между Android устройствами и WiFi роутерами, атакуя, таким образом, оба типа устройств.
Алгоритм OpenSSL был уязвим к атакам с 2011 года. Гуру в области безопасности Брюс Шнайдер, после того как им была выявлена уязвимость, была вознесена «по шкале от 1 до 10 на уровень 11».
Эксплоит Cupid требует наличие Android устройства, подключённого к WiFi сети с протоколом EAP-PEAP, EAP-TLS или EAP-TTLS. И хотя уязвимость была обнаружена только на Android, Гранжиа допускает, что Cupid может существовать и на прочих операционных системах, использующих эти протоколы, включая машины под управлением iOS и OS X, VoIP устройства и принтеры, так что Sysvalue рекомендует проверить и остальные устройства.
Эксплоит Cupid положил конец надеждам на то, что Heartbleed может быть использован только после TLS подключения при протоколе TCP. Эксплоит может прекрасно существовать и в 802.1X (NAC) сетях, даже проводных.