Heartbleed no es sólo un problema de escritorio - el androide podría ser un riesgo

La mayoría de nosotros sabemos heartbleed como un error que afectó a sitios web y servidores web, pero Android 4.1.1 también utiliza la versión vulnerable de OpenSSL. En otras palabras, algunos teléfonos inteligentes y tabletas Android son vulnerables a ataques heartbleed.Heartbleed - ¿Qué puede hacer para mantenerse a salvo? Heartbleed - ¿Qué puede hacer para mantenerse a salvo? Lee mas

¿Cuál es el riesgo?

Heartbleed se ha utilizado para atacar a varios servidores web. En pocas palabras, los servidores que ejecutan la versión vulnerable de OpenSSL tienen un error en su cifrado que puede ser explotado. Mediante el envío de paquetes especialmente diseñados, los atacantes pueden forzar al servidor web para responder con trozos de su memoria de trabajo. Esta memoria de trabajo puede contener contraseñas sensibles, claves de cifrado privadas y otros datos importantes.

El dispositivo Android no funciona como un servidor web, por supuesto. El problema es la falla también puede funcionar a la inversa, si el cliente - Android, en este caso - se está ejecutando el software OpenSSL vulnerables. En otras palabras, cuando se conecta a un sitio web malicioso o comprometido desde su dispositivo Android 4.1.1, el sitio web puede enviar paquetes especialmente diseñados y forzar su teléfono o tableta Android para responder con trozos de su memoria de trabajo. Esta memoria puede contener datos sensibles - por ejemplo, podría dar datos que pertenecen a una aplicación de banca en línea o el número de su tarjeta de crédito desde una aplicación de compras en línea que se guarda en la memoria. Podría dar contraseñas, mensajes privados, y cualquier otra cosa que su Android puede tener en la memoria.

Si utiliza un dispositivo vulnerables, los sitios web que se conectan a través de su navegador y otras aplicaciones podrían utilizar la falla heartbleed para capturar el contenido de la memoria del dispositivo.

Vídeo: Bug Heartbleed. Como afecta tu sitio web

android-heartbleed-bug

¿Cuántos dispositivos son vulnerables?

Google divulgó esta información en su blog heartbleed información:

“Todas las versiones de Android son inmunes a CVE-2014-0160 (con la excepción limitada de Android 4.1.1- parches información para Android 4.1.1 se distribuye a socios de Android).”

La buena noticia es que su dispositivo Android es probablemente muy bien. La mala noticia es que panel del programador de Google indica que hasta un 33,5% de los dispositivos en uso activo versión 4.1.x de ejecución, también conocido como Jelly Bean. Esto incluye dispositivos que ejecutan otras versiones de Android 4.1, por lo que no sabemos exactamente cuántos dispositivos realmente están ejecutando Android 4.1.1 específicamente.Top 12 Consejos Jelly Bean para una experiencia nueva tableta de GoogleTop 12 Consejos Jelly Bean para una experiencia nueva tableta de GoogleAndroid Jelly Bean 4.2, inicialmente enviado en el Nexus 7, proporciona una gran experiencia de la tableta nueva que supera a las versiones anteriores de Android. Incluso se impresionó nuestra residente fan de Apple. Si tienes un Nexus 7, ...Lee mas

android-versión-Share-estadísticas

Compruebe si su dispositivo es vulnerable

Si no está seguro de qué versión de Android los dispositivos están utilizando, tendrá que comprobar primero. Abre la aplicación Ajustes, desplácese hacia abajo a la parte inferior de la pantalla, y toque Acerca del teléfono o Acerca de la tableta. Verá el número de versión que se muestra bajo la versión de Android en esta pantalla.

Si ve algo, pero 4.1.1, estás bien. Si ves 4.1.1, es posible que tenga un problema.

-encontrar-version-number androide

Para hacer doble comprobar si en realidad estás vulnerables, es posible que desee instalar heartbleed escáner de seguridad de aplicaciones de puesto de observación. Esta aplicación no se limita a comprobar su versión instalada de Android. En su lugar, se comprueba si la versión de OpenSSL en su dispositivo es vulnerable a heartbleed. También comprueba para ver si el dispositivo es realmente vulnerables - si OpenSSL se ha construido sin el apoyo de los latidos del corazón de su dispositivo, puede realmente ser seguro.

Aquí estamos utilizando un Nexus 4 con Android 4.4.2 y detector heartbleed dice OpenSSL es vulnerable. Sin embargo, la función de latido cardíaco está desactivada en esta versión de Android, por lo que estamos perfectamente bien. A pesar del mensaje de advertencia que podrían relacionarse, no tenemos que preocuparse en absoluto.

es-mi-android-a-vulnerables-heartbleed

Actualizar el dispositivo

La solución real para los dispositivos vulnerables es una actualización. Como dijo Google, que están tratando de ayudar a los fabricantes de dispositivos Android y operadores celulares revisión a sus dispositivos. Sin embargo, todos sabemos que la situación actualización Android puede ser un desastre. Los fabricantes tienen muchos dispositivos diferentes para actualizar, por lo que puede que no hayan publicado un parche todavía - o puede que no siempre lanzar un parche si el dispositivo es más antiguo. Incluso si un fabricante lanza parches, compañías de telefonía celular tendrán que desplegarlo y pueden arrastrar los pies o simplemente nunca se libere el parche.

Vídeo: Heartbleed bug: How this dangerous computer security vulnerability works

Si el dispositivo es vulnerable, usted debe tratar de actualizar a la última versión disponible de Android para su dispositivo a través de su función de actualización incorporada. Esto variará de dispositivo a dispositivo y un soporte a otro.

update-androide

Vídeo: Heartbleed exploit demo

Si no se puede actualizar

Si el hardware de Android es vulnerable a heartbleed y no hay parches están disponibles, es de esperar que obtendrá uno pronto. Para estar seguros, se debe evitar el almacenamiento de datos sensibles en su dispositivo - esto significa desinstalación de aplicaciones de banca en línea, no entrar en su tarjeta de crédito en sitios web y aplicaciones, y cosas similares. Por supuesto, todavía estarán expuestas sus contraseñas y mensajes. Que realmente debe evitar visitar sitios web y el uso de aplicaciones tanto como sea posible si el dispositivo es una vulnerabilidad.

La mayoría de los dispositivos Android por ahí no está ejecutando una versión vulnerable, y la mayoría de los dispositivos que ejecutan las versiones vulnerables debe tener actualizaciones disponibles para solucionar este problema. Si está utilizando uno de los pocos dispositivos que no se ha actualizado, debe dejar de almacenar datos sensibles en el dispositivo. Es posible que desee ponerse en contacto con su operador o fabricante del dispositivo y ver si se lanzará una actualización pronto. Si el dispositivo no recibe una actualización, puede ser el momento para obtener una nueva.

Por supuesto, siempre se puede instalar una ROM personalizada me gusta CyanogenMod para reemplazar la versión de Android que viene con el dispositivo. Esto le dará una versión actualizada de Android que no es vulnerable, pero es un poco más de trabajo.¿Cómo encontrar e instalar una ROM personalizada para su dispositivo Android¿Cómo encontrar e instalar una ROM personalizada para su dispositivo AndroidAndroid es muy personalizable, pero para aprovechar al máximo de ello, es necesario un flash ROM personalizada. Aquí es cómo hacer eso.Lee mas

eliminar-sensible a datos

Claro, puede que no haya ningún caso conocido de esta vulnerabilidad se aproveche, pero es mejor prevenir que curar. Sería muy difícil de detectar si estaba siendo explotado un dispositivo Android.

Vídeo: Heartbleed demo

Heartbleed se ha utilizado para capturar información sensible impuestos, contraseñas y otros datos en línea, así que es mejor evitar el uso de cualquier software vulnerable a ataques heartbleed.