La mayoría de nosotros conoce Heartbleed Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Heartbleed: ¿qué puedes hacer para mantenerte seguro? Leer más como un error que afectó a los sitios web y servidores web, pero Android 4.1.1 también usa la versión vulnerable de OpenSSL. En otras palabras, algunos teléfonos inteligentes y tabletas con Android son vulnerables a los ataques Heartbleed.
¿Cuál es el riesgo?
Heartbleed se ha utilizado para atacar varios servidores web. Excavando a través del bombo: ¿ha dañado el corazón a alguien? Excavar a través del bombo: ¿ha dañado el corazón realmente a alguien? Lee mas . En pocas palabras, los servidores que ejecutan la versión vulnerable de OpenSSL tienen un error en su encriptación que puede ser explotado. Al enviar paquetes especialmente diseñados, los atacantes pueden obligar al servidor web a responder con trozos de su memoria de trabajo. Esta memoria de trabajo puede contener contraseñas confidenciales, claves de cifrado privadas y otros datos importantes.
Su dispositivo Android no funciona como servidor web, por supuesto. El problema es que la falla también puede funcionar en reversa si el cliente - Android, en este caso - está ejecutando software vulnerable de OpenSSL. En otras palabras, cuando te conectas a un sitio web malicioso o comprometido desde tu dispositivo Android 4.1.1, el sitio web puede enviar paquetes especialmente diseñados y forzar a tu teléfono o tableta Android a responder con trozos de su memoria de trabajo. Esta memoria podría contener datos confidenciales, por ejemplo, podría regalar datos pertenecientes a una aplicación de banca en línea o su número de tarjeta de crédito desde una aplicación de compras en línea que está guardada en la memoria. Podría regalar contraseñas, mensajes privados y cualquier otra cosa que su Android pueda tener en la memoria.
Si usa un dispositivo vulnerable, los sitios web a los que se conecta mediante su navegador y otras aplicaciones podrían usar la falla Heartbleed para capturar el contenido de la memoria de su dispositivo.
¿Cuántos dispositivos son vulnerables?
Google divulgó esta información en su publicación de blog de información Heartbleed:
"Todas las versiones de Android son inmunes a CVE-2014-0160 (con la excepción limitada de Android 4.1.1, la información de parches para Android 4.1.1 se está distribuyendo a los socios de Android)".
La buena noticia es que su dispositivo Android probablemente esté bien. La mala noticia es que el panel de desarrolladores de Google indica que hasta un 33, 5% de los dispositivos en uso activo ejecutan la versión 4.1.x, también conocida como Jelly Bean. Esto incluye dispositivos que ejecutan otras versiones de Android 4.1 Top 12 Jelly Bean Consejos para una nueva experiencia de Google Tablet Top 12 Jelly Bean Tips para una nueva experiencia de Google Tablet Android Android Jelly Bean 4.2, inicialmente enviado en el Nexus 7, proporciona una excelente nueva tableta que eclipsa las versiones anteriores de Android. Incluso impresionó a nuestro fan residente de Apple. Si tiene un Nexus 7, ... Lea más, por lo que no sabemos exactamente cuántos dispositivos ejecutan Android 4.1.1 específicamente.
Verifica si tu dispositivo es vulnerable
Si no está seguro de qué versión de Android usan sus dispositivos, primero querrá verificar. Abra la aplicación Configuración, desplácese hacia abajo hasta la parte inferior de la pantalla y toque Acerca del teléfono o Acerca de la tableta. Verá el número de versión que se muestra en la versión de Android en esta pantalla.
Si ves algo más que 4.1.1, estás bien. Si ve 4.1.1, puede tener un problema.
Para verificar si realmente es vulnerable, puede instalar la aplicación Heartbleed Security Scanner de Lookout. Esta aplicación no solo verifica tu versión instalada de Android. En cambio, verifica si la versión de OpenSSL en su dispositivo es vulnerable a Heartbleed. También verifica si el dispositivo es realmente vulnerable: si OpenSSL se ha creado sin compatibilidad con los latidos del corazón en su dispositivo, es posible que en realidad esté seguro.
Aquí estamos usando un Nexus 4 con Android 4.4.2 y Heartbleed Detector dice que OpenSSL es vulnerable. Sin embargo, la función heartbeat está desactivada en esta versión de Android, por lo que estamos perfectamente bien. A pesar del mensaje de advertencia potencialmente preocupante, no tenemos que preocuparnos en absoluto.
Actualiza tu dispositivo
La solución real para dispositivos vulnerables es una actualización. Como dijo Google, están tratando de ayudar a los fabricantes de dispositivos Android y a los proveedores de servicios de telefonía móvil a instalar sus dispositivos. Sin embargo, todos sabemos que la situación de actualización de Android puede ser un desastre. Los fabricantes tienen muchos dispositivos diferentes para actualizar, por lo que es posible que todavía no hayan emitido un parche, o es posible que nunca publiquen un parche si el dispositivo es más antiguo. Incluso si un fabricante lanza un parche, los operadores celulares deberán desplegarlo y arrastrar sus pies o simplemente nunca liberar el parche.
Si su dispositivo es vulnerable, debe intentar actualizar a la última versión disponible de Android para su dispositivo usando su función de actualización incorporada. Esto variará de un dispositivo a otro y de un operador a otro.
Si no puedes actualizar
Si su hardware de Android es vulnerable a Heartbleed y no hay parches disponibles, con suerte obtendrá uno pronto. Para estar seguro, debe evitar almacenar datos confidenciales en su dispositivo; esto significa desinstalar aplicaciones de banca en línea, no ingresar su tarjeta de crédito en sitios web y aplicaciones, y cosas similares. Por supuesto, sus contraseñas y mensajes seguirán expuestos. Realmente debería evitar visitar sitios web y usar aplicaciones tanto como sea posible si su dispositivo es una vulnerabilidad.
La mayoría de los dispositivos Android no están ejecutando una versión vulnerable, y la mayoría de los dispositivos que ejecutan las versiones vulnerables deben tener actualizaciones disponibles para solucionar este problema. Si está utilizando uno de los pocos dispositivos que no se ha actualizado, debe dejar de almacenar datos confidenciales en el dispositivo. Es posible que desee comunicarse con su proveedor o con el fabricante del dispositivo y ver si lanzarán una actualización pronto. Si su dispositivo no está recibiendo una actualización, puede ser momento de obtener una nueva.
Por supuesto, siempre puede instalar una ROM personalizada Cómo encontrar e instalar una ROM personalizada para su dispositivo Android Cómo encontrar e instalar una ROM personalizada para su dispositivo Android Android es súper personalizable, pero para aprovecharlo al máximo, necesita flashear una ROM personalizada. He aquí cómo hacer eso. Lea más acerca de CyanogenMod Cómo instalar CyanogenMod en su dispositivo Android Cómo instalar CyanogenMod en su dispositivo Android Mucha gente puede estar de acuerdo con que el sistema operativo Android es bastante impresionante. No solo es genial de usar, sino que también es gratuito como en código abierto, por lo que se puede modificar ... Leer más para reemplazar la versión de Android que viene con tu dispositivo. Esto te dará una versión actualizada de Android que no es vulnerable, pero es un poco más trabajo.
Claro, puede que no haya ningún caso conocido de esta vulnerabilidad que se explote, pero es mejor estar seguro que lamentarlo. Sería muy difícil detectar si un dispositivo Android estaba siendo explotado.
Heartbleed se ha utilizado para capturar información fiscal confidencial, contraseñas y otros datos en línea, por lo que es mejor evitar el uso de cualquier software vulnerable a los ataques de Heartbleed.
Crédito de la imagen: Indi Samarajiva en Flickr