Heartbleed no es solo un problema de escritorio su Android podría ser un riesgo
La mayoría de nosotros sabemos Heartbleed Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Lea más como un error que afectó a los sitios web y servidores web, pero Android 4.1.1 también usa la versión vulnerable de OpenSSL. En otras palabras, algunos teléfonos inteligentes y tabletas con Android son vulnerables a los ataques de Heartbleed.
Cuál es el riesgo?
Heartbleed se ha utilizado para atacar a varios servidores web Excavando a través de Hype: ¿Heartbleed ha perjudicado realmente a alguien? Excavando a través del Hype: ¿Ha perjudicado Heartbleed a alguien? Lee mas . En pocas palabras, los servidores que ejecutan la versión vulnerable de OpenSSL tienen un error en su cifrado que puede ser explotado. Al enviar paquetes especialmente diseñados, los atacantes pueden obligar al servidor web a responder con fragmentos de su memoria de trabajo. Esta memoria de trabajo puede contener contraseñas confidenciales, claves de cifrado privadas y otros datos importantes.
Tu dispositivo Android no funciona como un servidor web, por supuesto. El problema es que la falla también puede funcionar a la inversa si el cliente, Android, en este caso, ejecuta el software vulnerable OpenSSL. En otras palabras, cuando se conecta a un sitio web malicioso o comprometido desde su dispositivo Android 4.1.1, el sitio web puede enviar paquetes especialmente diseñados y obligar a su teléfono o tableta Android a responder con fragmentos de su memoria de trabajo. Esta memoria podría contener datos confidenciales; por ejemplo, podría revelar datos pertenecientes a una aplicación de banca en línea o al número de su tarjeta de crédito de una aplicación de compras en línea que esté guardada en la memoria. Podría regalar contraseñas, mensajes privados y cualquier otra cosa que su Android pueda tener en la memoria.
Si usa un dispositivo vulnerable, los sitios web a los que se conecta a través de su navegador y otras aplicaciones podrían usar la falla de Heartbleed para capturar el contenido de la memoria de su dispositivo.
Cuántos dispositivos son vulnerables?
Google divulgó esta información en su blog de información de Heartbleed:
“Todas las versiones de Android son inmunes a CVE-2014-0160 (con la excepción limitada de Android 4.1.1; la información de parches para Android 4.1.1 se está distribuyendo a los socios de Android).”
La buena noticia es que tu dispositivo Android probablemente esté bien. La mala noticia es que el panel de desarrolladores de Google indica que el 33,5% de los dispositivos en uso activo ejecutan la versión 4.1.x, también conocida como Jelly Bean. Esto incluye dispositivos que ejecutan otras versiones de Android 4.1 Los mejores 12 consejos de Jelly Bean para una nueva experiencia de Google Tablet Los mejores 12 consejos de Jelly Bean para una nueva experiencia de Google Tablet Android, Jelly Bean 4.2, que se distribuyó inicialmente en el Nexus 7, ofrece una excelente nueva experiencia de tableta que Sobresale a las versiones anteriores de Android. Incluso impresionó a nuestro fan residente de Apple. Si tiene un Nexus 7,… Lea más, así que no sabemos exactamente cuántos dispositivos ejecutan Android 4.1.1 específicamente.
Compruebe si su dispositivo es vulnerable
Si no está seguro de qué versión de Android están usando sus dispositivos, primero deberá verificar. Abra la aplicación Configuración, desplácese hacia abajo hasta la parte inferior de la pantalla y toque Acerca del teléfono o Acerca de la tableta. Verá el número de versión mostrado bajo la versión de Android en esta pantalla.
Si ves algo más que 4.1.1, estás bien. Si ves 4.1.1, puedes tener un problema.
Para verificar si es realmente vulnerable, es posible que desee instalar la aplicación del escáner de seguridad Heartbleed de Lookout. Esta aplicación no solo comprueba la versión instalada de Android. En su lugar, verifica si la versión de OpenSSL en su dispositivo es vulnerable a Heartbleed. También verifica si el dispositivo es realmente vulnerable. Si OpenSSL se ha creado sin soporte para latidos en su dispositivo, es posible que esté seguro..
Aquí estamos usando un Nexus 4 con Android 4.4.2 y el Detector Heartbleed dice que OpenSSL es vulnerable. Sin embargo, la función de latido está desactivada en esta versión de Android, por lo que estamos perfectamente bien. A pesar del mensaje de advertencia potencialmente preocupante, no tenemos que preocuparnos en absoluto..
Actualiza tu dispositivo
La verdadera solución para dispositivos vulnerables es una actualización. Como dijo Google, están tratando de ayudar a los fabricantes de dispositivos Android y operadores de telefonía celular a parchar sus dispositivos. Sin embargo, todos sabemos que la actualización de Android puede ser un desastre. Los fabricantes tienen muchos dispositivos diferentes para actualizar, por lo que es posible que aún no hayan emitido un parche, o que nunca hayan lanzado un parche si el dispositivo es más antiguo. Incluso si un fabricante lanza un parche, los operadores de telefonía celular tendrán que implementarlo y podrán arrastrar sus pies o simplemente nunca soltar el parche..
Si su dispositivo es vulnerable, debe intentar actualizar a la última versión disponible de Android para su dispositivo utilizando la función de actualización incorporada. Esto variará de un dispositivo a otro y de un operador a otro..
Si no puedes actualizar
Si su hardware de Android es vulnerable a Heartbleed y no hay parches disponibles, es de esperar que obtenga uno pronto. Para estar seguro, debe evitar almacenar datos confidenciales en su dispositivo: esto significa desinstalar aplicaciones bancarias en línea, no ingresar su tarjeta de crédito en sitios web y aplicaciones, y cosas similares. Por supuesto, sus contraseñas y mensajes seguirán siendo expuestos. Debería evitar visitar sitios web y utilizar las aplicaciones tanto como sea posible si su dispositivo es una vulnerabilidad..
La mayoría de los dispositivos Android no ejecutan una versión vulnerable, y la mayoría de los dispositivos que ejecutan las versiones vulnerables deben tener actualizaciones disponibles para solucionar este problema. Si está utilizando uno de los pocos dispositivos que no se ha actualizado, debe dejar de almacenar datos confidenciales en el dispositivo. Es posible que desee ponerse en contacto con su operador o con el fabricante del dispositivo y ver si lanzarán una actualización pronto. Si su dispositivo no está recibiendo una actualización, puede ser el momento de obtener una nueva.
Por supuesto, siempre puede instalar una ROM personalizada. Cómo encontrar e instalar una ROM personalizada para su dispositivo Android Cómo encontrar e instalar una ROM personalizada para su dispositivo Android Android es super personalizable, pero para aprovechar al máximo, debe Flash una ROM personalizada. Aquí es cómo hacer eso. Lea más como CyanogenMod Cómo instalar CyanogenMod en su dispositivo Android Cómo instalar CyanogenMod en su dispositivo Android Mucha gente puede estar de acuerdo en que el sistema operativo Android es bastante impresionante. No solo es genial de usar, sino que también es gratuito como en código abierto, para que pueda modificarse ... Lea más para reemplazar la versión de Android que viene con su dispositivo. Esto te dará una versión actualizada de Android que no es vulnerable, pero es un poco más de trabajo..
Claro, puede que no haya casos conocidos de esta vulnerabilidad explotada, pero es mejor prevenir que lamentar. Sería muy difícil detectar si un dispositivo Android estaba siendo explotado.
Heartbleed se ha utilizado para capturar información fiscal confidencial, contraseñas y otros datos en línea, por lo que es mejor evitar el uso de cualquier software vulnerable a los ataques de Heartbleed.
Crédito de la imagen: Indi Samarajiva en Flickr
Explorar más sobre: Custom Android Rom, SSL.