Το Heartbleed δεν είναι απλώς ένα πρόβλημα στην επιφάνεια εργασίας - το Android μπορεί να είναι επικίνδυνο

Οι περισσότεροι από εμάς γνωρίζουμε το Heartbleed ως σφάλμα που επηρέασε ιστότοπους και διακομιστές ιστού, αλλά το Android 4.1.1 χρησιμοποιεί επίσης την ευάλωτη έκδοση του OpenSSL. Αυτό σημαίνει ότι ορισμένα smartphone Android και tablet είναι ευάλωτα σε επιθέσεις Heartbleed.

Οι περισσότεροι από εμάς γνωρίζουμε το Heartbleed ως σφάλμα που επηρέασε ιστότοπους και διακομιστές ιστού, αλλά το Android 4.1.1 χρησιμοποιεί επίσης την ευάλωτη έκδοση του OpenSSL.  Αυτό σημαίνει ότι ορισμένα smartphone Android και tablet είναι ευάλωτα σε επιθέσεις Heartbleed.
Διαφήμιση

Οι περισσότεροι από εμάς γνωρίζουμε Heartbleed Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Διαβάστε περισσότερα ως σφάλμα που επηρέασε ιστότοπους και διακομιστές ιστού, αλλά το Android 4.1.1 χρησιμοποιεί επίσης την ευάλωτη έκδοση του OpenSSL. Με άλλα λόγια, ορισμένα Android smartphones και tablet είναι ευάλωτα σε επιθέσεις Heartbleed.

Ποιος είναι ο κίνδυνος?

Η Heartbleed έχει χρησιμοποιηθεί για να επιτεθεί σε διάφορους διακομιστές ιστούς Digging Through The Hype: Έχει Heartbleed Actually Harmed Καθένας; Σκάψιμο μέσα από την υποταγή: Έχει Heartbleed πραγματικά κακοποιηθεί ο καθένας; Διαβάστε περισσότερα . Με λίγα λόγια, οι διακομιστές που εκτελούν την ευάλωτη έκδοση του OpenSSL έχουν ένα σφάλμα στην κρυπτογράφηση τους που μπορεί να εκμεταλλευτεί. Με την αποστολή ειδικά επεξεργασμένων πακέτων, οι επιτιθέμενοι μπορούν να αναγκάσουν τον διακομιστή ιστού να ανταποκριθεί με κομμάτια της μνήμης εργασίας του. Αυτή η μνήμη εργασίας μπορεί να περιέχει ευαίσθητους κωδικούς πρόσβασης, ιδιωτικά κλειδιά κρυπτογράφησης και άλλα σημαντικά δεδομένα.

Η συσκευή σας Android δεν λειτουργεί φυσικά ως διακομιστής ιστού. Το πρόβλημα είναι ότι το ελάττωμα μπορεί επίσης να λειτουργήσει αντίστροφα αν ο πελάτης - Android, σε αυτή την περίπτωση - χρησιμοποιεί ευάλωτο λογισμικό OpenSSL. Με άλλα λόγια, όταν συνδέεστε σε έναν κακόβουλο ή συμβιβασμένο ιστότοπο από τη συσκευή σας Android 4.1.1, ο ιστότοπος μπορεί να στείλει ειδικά επεξεργασμένα πακέτα και να αναγκάσει το τηλέφωνο ή το tablet Android να ανταποκριθεί με κομμάτια της μνήμης εργασίας του. Αυτή η μνήμη μπορεί να περιέχει ευαίσθητα δεδομένα - για παράδειγμα, θα μπορούσε να δώσει δεδομένα που ανήκουν σε μια εφαρμογή ηλεκτρονικής τραπεζικής ή στον αριθμό της πιστωτικής σας κάρτας από μια ηλεκτρονική εφαρμογή για αγορές που έχει αποθηκευτεί στη μνήμη. Θα μπορούσε να δώσει μακριά τους κωδικούς πρόσβασης, τα ιδιωτικά μηνύματα και οτιδήποτε άλλο μπορεί να έχει το Android σας στη μνήμη.

Εάν χρησιμοποιείτε μια ευάλωτη συσκευή, οι ιστότοποι στους οποίους συνδέεστε μέσω του προγράμματος περιήγησης και άλλων εφαρμογών θα μπορούσαν να χρησιμοποιήσουν το ελάττωμα Heartbleed για να καταγράψουν τα περιεχόμενα της μνήμης της συσκευής σας.

android-heartbleed-bug

Πόσες συσκευές είναι ευάλωτες;

Η Google αποκάλυψε αυτές τις πληροφορίες στην ανάρτησή τους στο blog της Heartbleed:

"Όλες οι εκδόσεις του Android είναι απρόσβλητες από το CVE-2014-0160 (με την περιορισμένη εξαίρεση του Android 4.1.1, οι ενημερώσεις ενημέρωσης για το Android 4.1.1 διανέμονται στους συνεργάτες Android)".

Τα καλά νέα είναι ότι η συσκευή σας Android είναι πιθανώς ωραία. Τα κακά νέα είναι ότι ο πίνακας εργαλείων προγραμματιστών της Google δείχνει ότι έως και το 33, 5% των συσκευών σε ενεργή χρήση τρέχουν την έκδοση 4.1.x, γνωστή και ως Jelly Bean. Αυτές περιλαμβάνουν συσκευές που εκτελούν άλλες εκδόσεις του Android 4.1 Top 12 Jelly Bean Συμβουλές για μια νέα εμπειρία Tablet Google Το Top 12 Jelly Bean Συμβουλές για μια νέα εμπειρία Tablet Google Το Android Jelly Bean 4.2, που κυκλοφόρησε αρχικά στο Nexus 7, outshines προηγούμενες εκδόσεις του Android. Εντυπωσίασε μάλιστα και τον κατοχικό μας ανεμιστήρα της Apple. Αν έχετε Nexus 7, ... Διαβάστε περισσότερα, έτσι δεν ξέρουμε ακριβώς πόσες συσκευές τρέχουν πραγματικά το Android 4.1.1 συγκεκριμένα.

android-version-share-statistics

Ελέγξτε εάν η συσκευή σας είναι ευάλωτη

Αν δεν είστε σίγουροι για την έκδοση του Android που χρησιμοποιούν οι συσκευές σας, θα πρέπει να ελέγξετε πρώτα. Ανοίξτε την εφαρμογή Ρυθμίσεις, μετακινηθείτε προς τα κάτω στο κάτω μέρος της οθόνης και πατήστε Σχετικά με το τηλέφωνο ή Σχετικά με το tablet. Θα δείτε τον αριθμό έκδοσης που εμφανίζεται στην έκδοση Android σε αυτήν την οθόνη.

Εάν βλέπετε κάτι εκτός από το 4.1.1, είστε εντάξει. Αν δείτε το 4.1.1, μπορεί να έχετε κάποιο πρόβλημα.

find-android-version-number

Για να ελέγξετε ξανά εάν είστε πραγματικά ευάλωτοι, ίσως να θέλετε να εγκαταστήσετε την εφαρμογή Scanner Heartbleed Security Scanner της Lookout. Αυτή η εφαρμογή δεν ελέγχει μόνο την εγκατεστημένη έκδοση του Android. Αντ 'αυτού, ελέγχει εάν η έκδοση του OpenSSL στη συσκευή σας είναι ευάλωτη σε Heartbleed. Ελέγχει επίσης για να διαπιστώσει αν η συσκευή είναι πραγματικά ευάλωτη - αν το OpenSSL έχει κατασκευαστεί χωρίς υποστήριξη καρδιακών παλμών στη συσκευή σας, μπορεί να είστε πραγματικά ασφαλείς.

Εδώ χρησιμοποιούμε ένα Nexus 4 με Android 4.4.2 και ο Heartbleed Detector λέει ότι το OpenSSL είναι ευάλωτο. Ωστόσο, η λειτουργία καρδιάς είναι απενεργοποιημένη σε αυτήν την έκδοση του Android, οπότε είμαστε απόλυτα εντάξει. Παρά το ενδεχόμενο προειδοποιητικό μήνυμα, δεν χρειάζεται να ανησυχούμε καθόλου.

is-my-android-vulnerable-to-heartbleed

Ενημερώστε τη συσκευή σας

Η πραγματική λύση για τις ευάλωτες συσκευές είναι μια ενημέρωση. Όπως είπε η Google, προσπαθούν να βοηθήσουν τους κατασκευαστές συσκευών Android και τους κινητούς φορείς να επιδιορθώσουν τις συσκευές τους. Ωστόσο, όλοι γνωρίζουμε ότι η κατάσταση ενημέρωσης Android μπορεί να είναι ένα χάος. Οι κατασκευαστές έχουν πολλές διαφορετικές συσκευές για ενημέρωση, οπότε ενδέχεται να μην έχουν εκδώσει ακόμη μια ενημερωμένη έκδοση κώδικα - ή ενδέχεται να μην κυκλοφορήσουν ποτέ κάποια ενημερωμένη έκδοση κώδικα εάν η συσκευή είναι παλαιότερη. Ακόμη και αν ένας κατασκευαστής κυκλοφορήσει ένα έμπλαστρο, οι κυτταρικοί φορείς θα πρέπει να το αναπτύξουν και να τραβήξουν τα πόδια τους ή απλά να μην απελευθερώσουν το έμπλαστρο.

Εάν η συσκευή σας είναι ευάλωτη, θα πρέπει να προσπαθήσετε να ενημερώσετε την πιο πρόσφατη διαθέσιμη έκδοση του Android για τη συσκευή σας χρησιμοποιώντας τη ενσωματωμένη δυνατότητα ενημέρωσης. Αυτό θα διαφέρει από συσκευή σε συσκευή και από φορέα σε φορέα.

update-android

Εάν δεν μπορείτε να ενημερώσετε

Εάν το υλικό σας Android είναι ευάλωτο σε Heartbleed και δεν υπάρχουν διαθέσιμες ενημερώσεις κώδικα, ελπίζουμε ότι θα λάβετε ένα σύντομα. Για να είστε ασφαλείς, θα πρέπει να αποφύγετε την αποθήκευση ευαίσθητων δεδομένων στη συσκευή σας - αυτό σημαίνει ότι καταργείτε την εγκατάσταση εφαρμογών ηλεκτρονικής τραπεζικής, μην εισάγετε την πιστωτική σας κάρτα σε ιστότοπους και εφαρμογές και παρόμοια πράγματα. Φυσικά, οι κωδικοί πρόσβασης και τα μηνύματά σας θα εξακολουθούν να εκτίθενται. Θα πρέπει πραγματικά να αποφύγετε να επισκέπτεστε ιστοσελίδες και να χρησιμοποιείτε εφαρμογές όσο το δυνατόν περισσότερο, αν η συσκευή σας είναι ευάλωτη.

Η πλειοψηφία των συσκευών Android εκεί έξω δεν εκτελεί μια ευάλωτη έκδοση και η πλειοψηφία των συσκευών που εκτελούν τις ευάλωτες εκδόσεις θα πρέπει να έχουν διαθέσιμες ενημερώσεις για να διορθώσουν αυτό το πρόβλημα. Εάν χρησιμοποιείτε μία από τις λίγες συσκευές που δεν έχουν ενημερωθεί, θα πρέπει να διακόψετε την αποθήκευση ευαίσθητων δεδομένων στη συσκευή. Ενδεχομένως να θέλετε να επικοινωνήσετε με τον μεταφορέα ή τον κατασκευαστή της συσκευής σας και να δείτε εάν θα κυκλοφορήσουν σύντομα μια ενημερωμένη έκδοση. Εάν η συσκευή σας δεν λαμβάνει ενημέρωση, ίσως είναι καιρός να αποκτήσετε νέα.

Φυσικά, μπορείτε πάντα να εγκαταστήσετε ένα προσαρμοσμένο ROM Πώς να βρείτε και να εγκαταστήσετε μια προσαρμοσμένη ROM για τη συσκευή σας Android Πώς να βρείτε και να εγκαταστήσετε μια προσαρμοσμένη ROM για Android συσκευή σας Android είναι εξαιρετικά προσαρμόσιμη, αλλά για να επωφεληθούν πλήρως από αυτό, πρέπει να flash μια προσαρμοσμένη ROM. Δείτε πώς μπορείτε να το κάνετε αυτό. Διαβάστε περισσότερα όπως το CyanogenMod Πώς να εγκαταστήσετε το CyanogenMod στη συσκευή σας Android Πώς να εγκαταστήσετε το CyanogenMod στη συσκευή σας Android Πολλοί άνθρωποι μπορούν να συμφωνήσουν ότι το λειτουργικό σύστημα Android είναι πολύ φοβερό. Όχι μόνο είναι υπέροχο να το χρησιμοποιήσετε, αλλά είναι επίσης δωρεάν όπως και στην ανοιχτή πηγή, έτσι ώστε να μπορεί να τροποποιηθεί ... Διαβάστε περισσότερα για να αντικαταστήσετε την έκδοση του Android που συνοδεύει τη συσκευή σας. Αυτό θα σας δώσει μια ενημερωμένη έκδοση του Android που δεν είναι ευάλωτη, αλλά είναι λίγο περισσότερη δουλειά.

remove-sensitive-data

Σίγουρα, ενδέχεται να μην υπάρχουν γνωστές περιπτώσεις εκμετάλλευσης αυτής της ευπάθειας, αλλά είναι καλύτερο να είστε ασφαλείς από το συγγνώμη. Θα ήταν πολύ δύσκολο να εντοπίσουμε αν εκμεταλλευόταν μια συσκευή Android.

Το Heartbleed έχει χρησιμοποιηθεί για την καταγραφή ευαίσθητων φορολογικών πληροφοριών, κωδικών πρόσβασης και άλλων δεδομένων στο διαδίκτυο, οπότε είναι καλύτερο να αποφύγετε τη χρήση λογισμικού ευάλωτου στις επιθέσεις Heartbleed.

Πιστωτική Εικόνα: Indi Samarajiva στο Flickr

In this article