Heartbleed não é apenas um problema de desktop - o seu android pode ser um risco
A maioria de nós sabe heartbleed
Conteúdo
Video: The Code Story of Linux documentary
Qual é o risco?
Heartbleed foi usado para atacar vários servidores web. Em poucas palavras, os servidores que executam a versão vulnerável do OpenSSL tem um erro em sua criptografia que pode ser explorada. Enviando pacotes especialmente criados, os atacantes podem forçar o servidor web para responder com pedaços de sua memória de trabalho. Esta memória de trabalho podem conter senhas sensíveis, chaves de criptografia privadas, e outros dados importantes.
Seu dispositivo Android não funciona como um servidor web, é claro. O problema é a falha também pode funcionar em sentido inverso se o cliente - Android, neste caso - está a executar software OpenSSL vulnerável. Em outras palavras, quando você se conecta a um site malicioso ou comprometido do seu 4.1.1 dispositivo Android, o site pode enviar pacotes especialmente criados e forçar seu telefone ou tablet Android para responder com pedaços de sua memória de trabalho. Esta memória pode conter dados sensíveis - por exemplo, poderia dar dados pertencentes a um aplicativo bancário on-line ou o seu número de cartão de crédito a partir de um aplicativo de compras on-line que está guardado na memória. Poderia dar de senhas, mensagens privadas, e qualquer outra coisa o seu Android pode ter na memória.
Se você usar um dispositivo vulnerável, sites que você conectar-se através de seu navegador e outros aplicativos poderia usar a falha heartbleed para capturar o conteúdo da memória do seu dispositivo.
Como muitos dispositivos são vulneráveis?
Google divulgou esta informação na sua heartbleed pós informações blog:
“Todas as versões do Android são imunes a CVE-2014-0160 (com exceção limitada de Android 4.1.1- remendar informações para Android 4.1.1 está sendo distribuído aos parceiros Android).”
A boa notícia é que o seu dispositivo Android é provavelmente bem. A má notícia é que painel do desenvolvedor do Google indica que mais de 33,5% dos dispositivos em uso run versão 4.1.x ativa, também conhecido como Jelly Bean. Isto inclui dispositivos que executam outras versões do Android 4.1, de modo que não sabemos exatamente quantos dispositivos estão executando 4.1.1 Android especificamente.Top 12 Jelly Dicas feijão para um novo Google Tablet ExperienceTop 12 Jelly Dicas feijão para um novo Google Tablet ExperienceAndroid Jelly Bean 4.2, fornecido inicialmente no Nexus 7, fornece uma grande experiência nova tablet que supera as versões anteriores do Android. Ele ainda impressionado nossa residente fã da Apple. Se você tem um Nexus 7, ...consulte Mais informação
Verifique se o seu aparelho é vulnerável
Se você não tiver certeza de qual versão Android seus dispositivos estão usando, você vai querer verificar primeiro. Abra o aplicativo Configurações, role até a parte inferior da tela e toque em Sobre o telefone ou Sobre o tablet. Você verá o número da versão exibido em versão Android na tela.
Video: Heart bleed bug exploit live attack on 3 websites
Se você ver nada, mas 4.1.1, você está bem. Se você ver 4.1.1, você pode ter um problema.
Para verificar se você está realmente vulnerável, você pode querer instalar aplicativo heartbleed Security Scanner da Lookout. Este aplicativo não basta verificar a versão instalada do Android. Em vez disso, ele verifica para ver se a versão do OpenSSL no seu dispositivo é vulnerável a heartbleed. Ele também verifica para ver se o dispositivo está realmente vulnerável - se OpenSSL foi construído sem suporte para batimentos cardíacos no seu dispositivo, você pode realmente ser seguro.
Aqui estamos usando um Nexus 4 com Android 4.4.2 e heartbleed Detector diz OpenSSL está vulnerável. No entanto, o recurso de pulsação é desativado em esta versão do Android, por isso estamos perfeitamente bem. Apesar da mensagem de aviso potencialmente respeito, não precisa se preocupar em tudo.
Atualizar o seu dispositivo
A verdadeira solução para dispositivos vulneráveis é uma atualização. Como o Google disse, eles estão tentando ajudar os fabricantes de dispositivos Android e operadoras de celular corrigir seus dispositivos. No entanto, todos nós sabemos que a situação atualização Android pode ser uma bagunça. Os fabricantes têm muitos dispositivos diferentes para atualizar, de modo que não pode ter emitido um patch ainda - ou eles não podem nunca lançar um patch se o dispositivo é mais velho. Mesmo que um fabricante libera um patch, operadoras de celular terão de implantá-lo e pode arrastar os pés ou simplesmente nunca liberar o patch.
Se o dispositivo é vulnerável, você deve tentar atualizar para a versão mais recente do Android para o dispositivo usando o recurso de atualização embutido. Isto irá variar de dispositivo para dispositivo e suporte para suporte.
Se você não é possível atualizar
Se o seu hardware Android é vulnerável a heartbleed e sem correções estão disponíveis, esperamos que você vai ter um em breve. Para ser seguro, você deve evitar o armazenamento de dados sensíveis no dispositivo - isso significa desinstalar aplicativos bancários on-line, não introduzir o seu cartão de crédito em sites e aplicativos, e coisas semelhantes. Claro, suas senhas e mensagens ainda serão expostos. Você realmente deve evitar visitar sites e usando aplicativos, tanto quanto possível, se o dispositivo é uma vulnerabilidade.
A maioria dos dispositivos Android lá fora não está executando uma versão vulnerável, ea maioria dos dispositivos que executam as versões vulneráveis devem ter atualizações disponíveis para corrigir esse problema. Se você estiver usando um dos poucos dispositivos que não tenha sido atualizado, você deve parar de armazenar dados sensíveis no dispositivo. Você pode querer entrar em contato com sua operadora ou fabricante do dispositivo e ver se eles vão lançar uma atualização em breve. Se o dispositivo não está a receber uma atualização, pode ser hora de começar um novo.
Claro, você pode sempre instalar uma ROM personalizada gostar CyanogenMod para substituir a versão do Android que vem com o dispositivo. Isto lhe dará uma versão up-to-date do Android que não é vulnerável, mas é um trabalho pouco mais.Como encontrar e instalar uma ROM personalizado para o seu dispositivo AndroidComo encontrar e instalar uma ROM personalizado para o seu dispositivo AndroidAndroid é super personalizável, mas para tirar o máximo proveito disso, você precisa piscar um ROM personalizado. Veja como fazer isso.consulte Mais informação
Claro, pode não haver quaisquer casos conhecidos de exploração desta vulnerabilidade, mas é melhor prevenir do que remediar. Seria muito difícil de detectar se um dispositivo Android estava a ser explorada.
Heartbleed foi utilizado para capturar informações sensíveis fiscal, senhas e outros dados on-line, por isso é melhor evitar o uso de qualquer software vulnerável a heartbleed ataques.