Heartbleed non è solo un problema desktop - Il tuo Android potrebbe essere un rischio

La maggior parte di noi conosce Heartbleed come un bug che ha colpito siti Web e server Web, ma Android 4.1.1 utilizza anche la versione vulnerabile di OpenSSL. Ciò significa che alcuni smartphone e tablet Android sono vulnerabili agli attacchi Heartbleed.

La maggior parte di noi conosce Heartbleed come un bug che ha colpito siti Web e server Web, ma Android 4.1.1 utilizza anche la versione vulnerabile di OpenSSL.  Ciò significa che alcuni smartphone e tablet Android sono vulnerabili agli attacchi Heartbleed.
Annuncio pubblicitario

La maggior parte di noi conosce Heartbleed Heartbleed - Che cosa puoi fare per restare al sicuro? Heartbleed: cosa puoi fare per restare al sicuro? Leggi di più come un bug che ha colpito siti Web e server Web, ma Android 4.1.1 utilizza anche la versione vulnerabile di OpenSSL. In altre parole, alcuni smartphone e tablet Android sono vulnerabili agli attacchi Heartbleed.

Qual è il rischio?

Heartbleed è stato utilizzato per attaccare vari server Web. Digging Through The Hype: ha Heartbleed effettivamente danneggiato chiunque? Scavando attraverso la campagna pubblicitaria: ha Heartbleed realmente danneggiato qualcuno? Leggi di più . In poche parole, i server che eseguono la versione vulnerabile di OpenSSL hanno un bug nella loro crittografia che può essere sfruttato. Con l'invio di pacchetti appositamente predisposti, gli hacker possono forzare il server Web a rispondere con blocchi della sua memoria di lavoro. Questa memoria di lavoro può contenere password sensibili, chiavi di crittografia private e altri dati importanti.

Il tuo dispositivo Android non funziona come un server web, ovviamente. Il problema è che il difetto può funzionare anche al contrario se il client - Android, in questo caso - sta eseguendo il software OpenSSL vulnerabile. In altre parole, quando ti connetti a un sito Web dannoso o compromesso dal tuo dispositivo Android 4.1.1, il sito web può inviare pacchetti appositamente predisposti e forzare il tuo telefono o tablet Android a rispondere con blocchi della sua memoria di lavoro. Questa memoria potrebbe contenere dati sensibili - ad esempio, potrebbe distribuire dati appartenenti a un'app di banking online o il numero di carta di credito da un'app di shopping online salvata in memoria. Potrebbe regalare password, messaggi privati ​​e qualsiasi altra cosa che il tuo Android possa avere in memoria.

Se si utilizza un dispositivo vulnerabile, i siti Web a cui ci si connette tramite il browser e altre app potrebbero utilizzare l'errore Heartbleed per acquisire il contenuto della memoria del dispositivo.

android-heartbleed-bug

Quanti dispositivi sono vulnerabili?

Google ha divulgato queste informazioni nel loro post sul blog Heartbleed:

"Tutte le versioni di Android sono immuni a CVE-2014-0160 (con l'eccezione limitata di Android 4.1.1, le informazioni di patching per Android 4.1.1 vengono distribuite ai partner Android)."

La buona notizia è che il tuo dispositivo Android probabilmente sta bene. La cattiva notizia è che il dashboard degli sviluppatori di Google indica che ben il 33, 5% dei dispositivi in ​​uso attivo esegue la versione 4.1.x, nota anche come Jelly Bean. Questo include i dispositivi che eseguono altre versioni di Android 4.1 I 12 suggerimenti per Jelly Bean per una nuova esperienza con Google Tablet I 12 suggerimenti per Jelly Bean per una nuova esperienza di Google Tablet Android Jelly Bean 4.2, inizialmente distribuito sul Nexus 7, offre un'esperienza tablet davvero eccezionale che supera le versioni precedenti di Android. Ha persino impressionato il nostro fan di Apple. Se hai un Nexus 7, ... Leggi altro, quindi non sappiamo esattamente quanti dispositivi eseguono Android 4.1.1 in particolare.

android-version-share-statistics

Controlla se il tuo dispositivo è vulnerabile

Se non sei sicuro della versione di Android che i tuoi dispositivi stanno utilizzando, ti consigliamo di controllare prima. Apri l'app Impostazioni, scorri verso il basso fino alla parte inferiore dello schermo e tocca Info sul telefono o Info sul tablet. In questa schermata vedrai il numero di versione visualizzato sotto la versione Android.

Se vedi qualcosa tranne la 4.1.1, stai bene. Se vedi 4.1.1, potresti avere un problema.

find-android-version-number

Per verificare se sei effettivamente vulnerabile, ti consigliamo di installare l'app Scanner Heartbleed Security di Lookout. Questa app non controlla solo la tua versione installata di Android. Invece, controlla se la versione di OpenSSL sul tuo dispositivo è vulnerabile a Heartbleed. Verifica inoltre se il dispositivo è effettivamente vulnerabile: se OpenSSL è stato creato senza il supporto per heartbeat sul dispositivo, potrebbe essere effettivamente sicuro.

Qui stiamo usando un Nexus 4 con Android 4.4.2 e Heartbleed Detector dice che OpenSSL è vulnerabile. Tuttavia, la funzione Heartbeat è disabilitata su questa versione di Android, quindi stiamo perfettamente bene. Nonostante il messaggio di avviso potenzialmente relativo, non dobbiamo preoccuparci affatto.

is-my-android-vulnerable-to-heartbleed

Aggiorna il tuo dispositivo

La vera soluzione per i dispositivi vulnerabili è un aggiornamento. Come ha detto Google, stanno cercando di aiutare i produttori di dispositivi Android e i carrier cellulari a riparare i loro dispositivi. Tuttavia, sappiamo tutti che la situazione dell'aggiornamento di Android può essere un disastro. I produttori hanno molti dispositivi diversi da aggiornare, quindi potrebbero non aver ancora rilasciato una patch - o potrebbero non rilasciare mai una patch se il dispositivo è più vecchio. Anche se un produttore rilascia una patch, i portatori cellulari dovranno distribuirlo e potrebbero trascinare i piedi o semplicemente non rilasciare mai la patch.

Se il tuo dispositivo è vulnerabile, dovresti provare ad aggiornare all'ultima versione disponibile di Android per il tuo dispositivo usando la sua funzione di aggiornamento integrata. Questo può variare da dispositivo a dispositivo e da operatore a operatore telefonico.

update-android

Se non è possibile aggiornare

Se il tuo hardware Android è vulnerabile a Heartbleed e non ci sono patch disponibili, si spera che ne riceverai presto uno. Per sicurezza, dovresti evitare di archiviare dati sensibili sul tuo dispositivo - questo significa disinstallare le app di banking online, non inserire la tua carta di credito in siti web e app e cose simili. Naturalmente, le tue password e i tuoi messaggi saranno comunque esposti. Dovresti evitare di visitare i siti web e utilizzare le app il più possibile se il tuo dispositivo è vulnerabile.

La maggior parte dei dispositivi Android non contiene una versione vulnerabile e la maggior parte dei dispositivi che eseguono le versioni vulnerabili dovrebbe disporre di aggiornamenti disponibili per risolvere questo problema. Se si utilizza uno dei pochi dispositivi che non sono stati aggiornati, è necessario interrompere la memorizzazione dei dati riservati sul dispositivo. Potresti voler contattare il tuo operatore o il produttore del dispositivo e vedere se rilasceranno presto un aggiornamento. Se il tuo dispositivo non riceve un aggiornamento, potrebbe essere il momento di prenderne uno nuovo.

Naturalmente, puoi sempre installare una ROM personalizzata Come trovare e installare una ROM personalizzata per il tuo dispositivo Android Come trovare e installare una ROM personalizzata per il tuo dispositivo Android Android è super personalizzabile, ma per trarne il massimo vantaggio, devi flash una ROM personalizzata. Ecco come farlo. Per saperne di più come CyanogenMod Come installare CyanogenMod sul tuo dispositivo Android Come installare CyanogenMod sul tuo dispositivo Android Un sacco di persone possono essere d'accordo sul fatto che il sistema operativo Android è davvero fantastico. Non solo è fantastico da usare, ma è anche gratuito come in open source, in modo che possa essere modificato ... Leggi altro per sostituire la versione di Android fornita con il tuo dispositivo. Questo ti darà una versione aggiornata di Android che non è vulnerabile, ma è un po 'più di lavoro.

remove-sensitive-data

Certo, potrebbero non esserci casi noti di sfruttamento di questa vulnerabilità, ma è meglio prevenire che curare. Sarebbe molto difficile rilevare se un dispositivo Android è stato sfruttato.

Heartbleed è stato utilizzato per acquisire informazioni fiscali sensibili, password e altri dati online, quindi è meglio evitare l'uso di software vulnerabili agli attacchi Heartbleed.

Immagine di credito: Indi Samarajiva su Flickr

In this article