Michael Cain
0 
2190
231
La mayoría de nosotros conocemos Heartbleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo? como un error que afectaba a sitios web y servidores web, pero Android 4.1.1 también usa la versión vulnerable de OpenSSL. En otras palabras, algunos teléfonos inteligentes y tabletas con Android son vulnerables a los ataques de Heartbleed.
Cuál es el riesgo?
Heartbleed se ha utilizado para atacar varios servidores web Excavando a través del bombo: ¿Heartbleed realmente ha dañado a alguien? Excavando a través del bombo: ¿Ha perjudicado realmente a Heartbleed a alguien? . En pocas palabras, los servidores que ejecutan la versión vulnerable de OpenSSL tienen un error en su cifrado que puede ser explotado. Al enviar paquetes especialmente diseñados, los atacantes pueden obligar al servidor web a responder con fragmentos de su memoria de trabajo. Esta memoria de trabajo puede contener contraseñas confidenciales, claves de cifrado privadas y otros datos importantes..
Su dispositivo Android no funciona como un servidor web, por supuesto. El problema es que la falla también puede funcionar en reversa si el cliente, Android, en este caso, está ejecutando un software OpenSSL vulnerable. En otras palabras, cuando se conecta a un sitio web malicioso o comprometido desde su dispositivo Android 4.1.1, el sitio web puede enviar paquetes especialmente diseñados y obligar a su teléfono o tableta Android a responder con fragmentos de su memoria de trabajo. Esta memoria podría contener datos confidenciales; por ejemplo, podría regalar datos pertenecientes a una aplicación de banca en línea o el número de su tarjeta de crédito de una aplicación de compras en línea que se guarda en la memoria. Podría regalar contraseñas, mensajes privados y cualquier otra cosa que tu Android pueda tener en la memoria.
Si usa un dispositivo vulnerable, los sitios web a los que se conecta a través de su navegador y otras aplicaciones podrían usar la falla Heartbleed para capturar el contenido de la memoria de su dispositivo.
¿Cuántos dispositivos son vulnerables??
Google divulgó esta información en su publicación de blog de información Heartbleed:
“Todas las versiones de Android son inmunes a CVE-2014-0160 (con la excepción limitada de Android 4.1.1; la información de parches para Android 4.1.1 se distribuye a los socios de Android).”
La buena noticia es que su dispositivo Android probablemente esté bien. La mala noticia es que el panel de desarrolladores de Google indica que hasta el 33.5% de los dispositivos en uso activo ejecutan la versión 4.1.x, también conocida como Jelly Bean. Esto incluye dispositivos que ejecutan otras versiones de Android 4.1. Los 12 mejores consejos de Jelly Bean para una nueva experiencia en tabletas de Google Los 12 mejores consejos de Jelly Bean para una nueva experiencia en tabletas de Android Android Jelly Bean 4.2, inicialmente enviado en el Nexus 7, proporciona una gran experiencia de tableta nueva que eclipsa las versiones anteriores de Android. Incluso impresionó a nuestro fanático residente de Apple. Si tienes un Nexus 7, ..., entonces no sabemos exactamente cuántos dispositivos están ejecutando Android 4.1.1 específicamente.
Compruebe si su dispositivo es vulnerable
Si no está seguro de qué versión de Android están usando sus dispositivos, primero querrá verificarlo. Abra la aplicación Configuración, desplácese hacia abajo hasta la parte inferior de la pantalla y toque Acerca del teléfono o Acerca de la tableta. Verá el número de versión que se muestra en la versión de Android en esta pantalla.
Si ve algo más que 4.1.1, está bien. Si ve 4.1.1, puede tener un problema.
Para verificar si es realmente vulnerable, puede instalar la aplicación Lookout Heartbleed Security Scanner. Esta aplicación no solo comprueba tu versión instalada de Android. En cambio, verifica si la versión de OpenSSL en su dispositivo es vulnerable a Heartbleed. También verifica si el dispositivo es realmente vulnerable: si OpenSSL se ha creado sin compatibilidad con los latidos del corazón en su dispositivo, es posible que esté seguro.
Aquí estamos usando un Nexus 4 con Android 4.4.2 y Heartbleed Detector dice que OpenSSL es vulnerable. Sin embargo, la función heartbeat está deshabilitada en esta versión de Android, por lo que estamos perfectamente bien. A pesar del mensaje de advertencia potencialmente preocupante, no tenemos que preocuparnos en absoluto.
Actualiza tu dispositivo
La solución real para dispositivos vulnerables es una actualización. Como dijo Google, están tratando de ayudar a los fabricantes de dispositivos Android y a los operadores de telefonía celular a reparar sus dispositivos. Sin embargo, todos sabemos que la situación de actualización de Android puede ser un desastre. Los fabricantes tienen muchos dispositivos diferentes para actualizar, por lo que es posible que aún no hayan emitido un parche, o tal vez no liberen un parche si el dispositivo es más antiguo. Incluso si un fabricante lanza un parche, los operadores celulares tendrán que desplegarlo y pueden arrastrar sus pies o simplemente nunca lanzar el parche.
Si su dispositivo es vulnerable, debe intentar actualizar a la última versión disponible de Android para su dispositivo utilizando su función de actualización incorporada. Esto variará de dispositivo a dispositivo y de operador a operador.
Si no puedes actualizar
Si su hardware de Android es vulnerable a Heartbleed y no hay parches disponibles, con suerte recibirá uno pronto. Para estar seguro, debe evitar almacenar datos confidenciales en su dispositivo; esto significa desinstalar aplicaciones de banca en línea, no ingresar su tarjeta de crédito en sitios web y aplicaciones, y cosas similares. Por supuesto, sus contraseñas y mensajes seguirán expuestos. Realmente debería evitar visitar sitios web y usar aplicaciones tanto como sea posible si su dispositivo es una vulnerabilidad.
La mayoría de los dispositivos Android no tienen una versión vulnerable, y la mayoría de los dispositivos que ejecutan las versiones vulnerables deberían tener actualizaciones disponibles para solucionar este problema. Si está utilizando uno de los pocos dispositivos que no se ha actualizado, debe dejar de almacenar datos confidenciales en el dispositivo. Es posible que desee ponerse en contacto con su proveedor o el fabricante del dispositivo y ver si lanzarán una actualización pronto. Si su dispositivo no recibe una actualización, puede ser hora de obtener una nueva.
Por supuesto, siempre puede instalar una ROM personalizada Cómo encontrar e instalar una ROM personalizada para su dispositivo Android Cómo encontrar e instalar una ROM personalizada para su dispositivo Android Android es súper personalizable, pero para aprovecharlo al máximo, necesita flashear una ROM personalizada. Aquí se explica cómo hacerlo. como CyanogenMod Cómo instalar CyanogenMod en su dispositivo Android Cómo instalar CyanogenMod en su dispositivo Android Muchas personas pueden estar de acuerdo en que el sistema operativo Android es bastante impresionante. No solo es genial de usar, sino que también es gratuito como en código abierto, por lo que puede modificarse ... para reemplazar la versión de Android que viene con su dispositivo. Esto te dará una versión actualizada de Android que no es vulnerable, pero es un poco más de trabajo.
Claro, puede que no haya casos conocidos de esta vulnerabilidad siendo explotada, pero es mejor prevenir que curar. Sería muy difícil detectar si un dispositivo Android estaba siendo explotado.
Heartbleed se ha utilizado para capturar información fiscal confidencial, contraseñas y otros datos en línea, por lo que es mejor evitar el uso de cualquier software vulnerable a los ataques de Heartbleed.
Crédito de imagen: Indi Samarajiva en Flickr