Heartbleed não é apenas um problema de desktop - seu Android pode ser um risco

A maioria de nós conhece o Heartbleed como um bug que afeta sites e servidores web, mas o Android 4.1.1 também usa a versão vulnerável do OpenSSL. Isso significa que alguns smartphones e tablets Android são vulneráveis ​​a ataques Heartbleed.

A maioria de nós conhece o Heartbleed como um bug que afeta sites e servidores web, mas o Android 4.1.1 também usa a versão vulnerável do OpenSSL.  Isso significa que alguns smartphones e tablets Android são vulneráveis ​​a ataques Heartbleed.
Propaganda

A maioria de nós conhece Heartbleed Heartbleed - O que você pode fazer para ficar seguro? Heartbleed - o que você pode fazer para ficar seguro? Leia mais como um bug que afetou sites e servidores web, mas o Android 4.1.1 também usa a versão vulnerável do OpenSSL. Em outras palavras, alguns smartphones e tablets Android são vulneráveis ​​a ataques Heartbleed.

Qual é o risco?

Heartbleed tem sido usado para atacar vários servidores web Escavando através do Hype: tem Heartbleed realmente prejudicado qualquer um? Cavando através do Hype: tem Heartbleed realmente prejudicado alguém? Consulte Mais informação . Em suma, os servidores que executam a versão vulnerável do OpenSSL têm um bug em sua criptografia que pode ser explorada. Ao enviar pacotes especialmente criados, os invasores podem forçar o servidor da Web a responder com partes de sua memória operacional. Essa memória de trabalho pode conter senhas confidenciais, chaves de criptografia privadas e outros dados importantes.

Seu dispositivo Android não funciona como um servidor da web, é claro. O problema é que a falha também pode funcionar de forma inversa se o cliente - o Android, neste caso - estiver executando o software OpenSSL vulnerável. Em outras palavras, quando você se conecta a um site malicioso ou comprometido a partir do seu dispositivo Android 4.1.1, o site pode enviar pacotes especialmente criados e forçar seu smartphone ou tablet Android a responder com partes de sua memória operacional. Essa memória pode conter dados confidenciais, por exemplo, pode fornecer dados pertencentes a um aplicativo bancário on-line ou a um número de cartão de crédito de um aplicativo de compras on-line salvo na memória. Pode dar senhas, mensagens privadas e qualquer outra coisa que seu Android possa ter na memória.

Se você usa um dispositivo vulnerável, os sites aos quais você se conecta por meio do navegador e de outros aplicativos podem usar a falha do Heartbleed para capturar o conteúdo da memória do dispositivo.

android-heartbleed-bug

Quantos dispositivos são vulneráveis?

O Google divulgou essas informações em sua postagem de blog de informações do Heartbleed:

“Todas as versões do Android estão imunes ao CVE-2014-0160 (com a exceção limitada do Android 4.1.1; as informações sobre correções do Android 4.1.1 estão sendo distribuídas para os parceiros do Android)”.

A boa notícia é que o seu dispositivo Android provavelmente está bem. A má notícia é que o painel do desenvolvedor do Google indica que até 33, 5% dos dispositivos em uso ativo executam a versão 4.1.x, também conhecida como Jelly Bean. Isso inclui dispositivos que executam outras versões do Android 4.1 Top 12 Dicas Jelly Bean para uma nova experiência Google Tablet Top 12 Jelly Bean Dicas para uma nova experiência Google Tablet Android Jelly Bean 4.2, inicialmente lançado no Nexus 7, oferece uma ótima experiência de tablet nova supera as versões anteriores do Android. Até impressionou nosso fã residente da Apple. Se você tem um Nexus 7, ... Leia mais, então não sabemos exatamente quantos dispositivos estão realmente rodando o Android 4.1.1 especificamente.

android-version-share-statistics

Verifique se o seu dispositivo está vulnerável

Se você não souber qual versão do Android seus dispositivos estão usando, verifique primeiro. Abra o aplicativo Configurações, role para baixo até a parte inferior da tela e toque em Sobre o telefone ou Sobre o tablet. Você verá o número da versão exibido na versão do Android nesta tela.

Se você ver qualquer coisa, menos 4.1.1, você está bem. Se você ver 4.1.1, você pode ter um problema.

find-android-version-number

Para verificar novamente se você está realmente vulnerável, talvez queira instalar o aplicativo do Scanner de Segurança Heartbleed da Lookout. Este aplicativo não apenas verifica sua versão instalada do Android. Em vez disso, ele verifica se a versão do OpenSSL no seu dispositivo é vulnerável ao Heartbleed. Ele também verifica se o dispositivo está realmente vulnerável - se o OpenSSL foi criado sem suporte para pulsações no seu dispositivo, você pode realmente estar seguro.

Aqui estamos usando um Nexus 4 com Android 4.4.2 e o Heartbleed Detector diz que o OpenSSL é vulnerável. No entanto, a funcionalidade de pulsação está desativada nesta versão do Android, pelo que estamos perfeitamente bem. Apesar da mensagem potencialmente preocupante, não precisamos nos preocupar.

is-my-android-vulnerable-to-heartbleed

Atualize seu dispositivo

A solução real para dispositivos vulneráveis ​​é uma atualização. Como o Google disse, eles estão tentando ajudar os fabricantes de dispositivos Android e as operadoras de celular a consertar seus dispositivos. No entanto, todos nós sabemos que a situação de atualização do Android pode ser uma bagunça. Os fabricantes têm muitos dispositivos diferentes para atualizar, então eles podem não ter emitido um patch ainda - ou eles podem nunca lançar um patch se o dispositivo for mais antigo. Mesmo se um fabricante lançar um patch, as operadoras de celular terão que implantá-lo e arrastar seus pés ou simplesmente nunca soltar o patch.

Se o seu dispositivo estiver vulnerável, você deve tentar atualizar para a versão mais recente disponível do Android para o seu dispositivo usando o recurso de atualização integrado. Isso irá variar de dispositivo para dispositivo e transportadora para operadora.

update-android

Se você não puder atualizar

Se o seu hardware Android estiver vulnerável ao Heartbleed e não houver patches disponíveis, esperamos que você receba um em breve. Para ser seguro, você deve evitar o armazenamento de dados confidenciais em seu dispositivo - isso significa desinstalar aplicativos de serviços bancários on-line, não inserir seu cartão de crédito em sites e aplicativos e coisas semelhantes. Claro, suas senhas e mensagens ainda serão expostas. Você deve evitar visitar sites e usar aplicativos o máximo possível se o dispositivo for uma vulnerabilidade.

A maioria dos dispositivos Android não está executando uma versão vulnerável, e a maioria dos dispositivos que executam as versões vulneráveis ​​deve ter atualizações disponíveis para corrigir esse problema. Se você estiver usando um dos poucos dispositivos que não foram atualizados, pare de armazenar dados confidenciais no dispositivo. Você pode entrar em contato com sua operadora ou com o fabricante do dispositivo e ver se eles lançarão uma atualização em breve. Se o seu dispositivo não estiver recebendo uma atualização, talvez seja hora de comprar um novo.

Claro, você sempre pode instalar uma ROM personalizada Como encontrar e instalar uma ROM personalizada para o seu dispositivo Android Como encontrar e instalar uma ROM personalizada para o seu dispositivo Android O Android é super personalizável, mas para aproveitar ao máximo isso, você precisa piscar uma ROM personalizada. Veja como fazer isso. Leia mais como CyanogenMod Como instalar o CyanogenMod no seu dispositivo Android Como instalar o CyanogenMod no seu dispositivo Android Um monte de gente pode concordar que o sistema operacional Android é muito legal. Não só é ótimo de usar, mas também é gratuito, como em código aberto, para que possa ser modificado ... Leia Mais para substituir a versão do Android que acompanha o seu dispositivo. Isso fornecerá uma versão atualizada do Android que não é vulnerável, mas é um pouco mais trabalhosa.

remove-sensitive-data

Claro, pode não haver nenhum caso conhecido dessa vulnerabilidade sendo explorada, mas é melhor prevenir do que remediar. Seria muito difícil detectar se um dispositivo Android estava sendo explorado.

O Heartbleed tem sido usado para capturar informações fiscais sensíveis, senhas e outros dados on-line, portanto, é melhor evitar o uso de qualquer software vulnerável a ataques Heartbleed.

Crédito de imagem: Indi Samarajiva no Flickr

In this article