Heartbleed er ikke bare et skrivebordsproblem - Android kan være en risiko

De fleste av oss kjenner Heartbleed som en feil som berørte nettsteder og webservere, men Android 4.1.1 bruker også den sårbare versjonen av OpenSSL. Dette betyr at noen Android-smarttelefoner og -tabletter er sårbare overfor Heartbleed-angrep.

De fleste av oss kjenner Heartbleed som en feil som berørte nettsteder og webservere, men Android 4.1.1 bruker også den sårbare versjonen av OpenSSL.  Dette betyr at noen Android-smarttelefoner og -tabletter er sårbare overfor Heartbleed-angrep.
Annonse

De fleste av oss kjenner Heartbleed Heartbleed - Hva kan du gjøre for å holde seg trygt? Heartbleed - Hva kan du gjøre for å være trygg? Les mer som en feil som berørte nettsteder og webservere, men Android 4.1.1 bruker også den sårbare versjonen av OpenSSL. Med andre ord er noen Android-smarttelefoner og -tabletter sårbare overfor Heartbleed-angrep.

Hva er risikoen?

Heartbleed har blitt brukt til å angripe ulike webservere. Digging Through The Hype: Har Heartbleed faktisk skadet noen? Graving Through The Hype: Har Heartbleed faktisk skadet noen? Les mer . I et nøtteskall har servere som kjører den sårbare versjonen av OpenSSL, en feil i kryptering som kan utnyttes. Ved å sende spesiallagde pakker, kan angriperne tvinge webserveren til å svare med biter av arbeidsminne. Dette arbeidsminne kan inneholde sensitive passord, private krypteringsnøkler og andre viktige data.

Din Android-enhet fungerer ikke som en webserver, selvfølgelig. Problemet er at feilen også kan fungere i omvendt hvis klienten - Android, i dette tilfellet - kjører sårbar OpenSSL-programvare. Med andre ord, når du kobler deg til et skadelig eller kompromittert nettsted fra Android 4.1.1-enheten din, kan nettstedet sende spesiallagde pakker og tvinge Android-telefonen eller nettbrettet til å svare med biter av arbeidsminne. Dette minnet kan inneholde sensitive data - det kan for eksempel gi bort data som tilhører en nettbankapp eller ditt kredittkortnummer fra en online shopping-app som er lagret i minnet. Det kan gi bort passord, private meldinger og alt annet Android kan ha i minnet.

Hvis du bruker en sårbar enhet, kan nettsteder du kobler til via nettleseren din og andre apper bruke Heartbleed-feilen til å fange innholdet i enhetens minne.

android-heartbleed-bug

Hvor mange enheter er utsatt?

Google avslørte denne informasjonen i deres Heartbleed-informasjon blogginnlegg:

"Alle versjoner av Android er immune med CVE-2014-0160 (med det begrensede unntaket for Android 4.1.1; patching informasjon for Android 4.1.1 blir distribuert til Android-partnere)."

Den gode nyheten er at Android-enheten din sannsynligvis er bra. Den dårlige nyheten er at Googles utviklere dashboard indikerer at så mange som 33, 5% av enhetene i aktiv bruk kjører versjon 4.1.x, også kjent som Jelly Bean. Dette inkluderer enheter som kjører andre versjoner av Android 4.1 Topp 12 Jelly Bean Tips for en ny Google Tablet-opplevelse Topp 12 Jelly Bean Tips for en ny Google Tablet-opplevelse Android Jelly Bean 4.2, som ble levert på Nexus 7, gir en flott ny tablettopplevelse som outshines tidligere versjoner av Android. Det imponerte selv vår hjemmehørende Apple-fan. Hvis du har en Nexus 7, ... Les mer, så vi vet ikke nøyaktig hvor mange enheter som faktisk kjører Android 4.1.1 spesielt.

android-version-share-statistics

Sjekk om enheten din er utsatt

Hvis du ikke er sikker på hvilken Android-versjon enhetene dine bruker, vil du først sjekke. Åpne Innstillinger-appen, bla ned til bunnen av skjermen, og trykk på Om telefon eller Om nettbrett. Du får se versionsnummeret som vises under Android-versjon på denne skjermen.

Hvis du ser noe annet enn 4.1.1, har du det bra. Hvis du ser 4.1.1, kan det hende du har et problem.

find-android-version-number

For å dobbeltsjekke om du faktisk er sårbar, vil du kanskje installere Lookouts Heartbleed Security Scanner-app. Denne appen kontrollerer ikke bare den installerte versjonen av Android. I stedet sjekker det for å se om versjonen av OpenSSL på enheten din er sårbar for Heartbleed. Det sjekker også for å se om enheten er faktisk sårbar - hvis OpenSSL er bygget uten støtte for hjerteslag på enheten, kan du faktisk være sikker.

Her bruker vi en Nexus 4 med Android 4.4.2 og Heartbleed Detector sier OpenSSL er sårbar. Hjerteslagsfunksjonen er imidlertid deaktivert på denne versjonen av Android, så vi har det bra. Til tross for den potensielle advarselsmeldingen, trenger vi ikke å bekymre oss i det hele tatt.

is-my-android-vulnerable-to-heartbleed

Oppdater enheten

Den virkelige løsningen for sårbare enheter er en oppdatering. Som Google sa, prøver de å hjelpe Android-enhetsprodusenter og mobiloperatører å lappere sine enheter. Men vi vet alle at Android-oppdateringssituasjonen kan være et rot. Produsenter har mange forskjellige enheter for å oppdatere, slik at de kanskje ikke har utstedt en oppdatering ennå - eller de kan aldri slippe ut en oppdatering hvis enheten er eldre. Selv om en produsent slipper ut en patch, må mobiloperatørene distribuere den og kan trekke føttene eller bare slippe ut patchen.

Hvis enheten er sårbar, bør du forsøke å oppdatere til den nyeste tilgjengelige versjonen av Android for enheten din ved hjelp av den innebygde oppdateringsfunksjonen. Dette vil variere fra enhet til enhet og transportør til transportør.

update-android

Hvis du ikke kan oppdatere

Hvis Android-maskinvaren din er sårbar for Heartbleed, og ingen oppdateringer er tilgjengelige, forhåpentligvis får du en snart. For å være sikker bør du unngå å lagre sensitive data på enheten din - dette betyr at du avinstallerer nettbankapplikasjoner, ikke oppgir kredittkortet ditt i nettsteder og apper og lignende. Selvfølgelig vil passordene dine og meldingene fortsatt bli utsatt. Du bør virkelig unngå å besøke nettsteder og bruke apper så mye som mulig hvis enheten din er et sikkerhetsproblem.

De fleste Android-enheter der ute, kjører ikke en sårbar versjon, og de fleste enheter som kjører de sårbare versjonene, bør ha oppdateringer tilgjengelig for å fikse dette problemet. Hvis du bruker en av de få enhetene som ikke er oppdatert, bør du slutte å lagre sensitive data på enheten. Du vil kanskje kontakte operatøren eller enhetens produsent og se om de snart vil bli utgitt en oppdatering. Hvis enheten din ikke mottar en oppdatering, kan det være på tide å skaffe en ny.

Selvfølgelig kan du alltid installere en egendefinert ROM Slik finner du og installerer en egendefinert ROM for Android-enheten Slik finner og installerer du en egendefinert ROM for Android-enheten Android er super tilpassbar, men for fullt ut å dra nytte av det, må du blits en egendefinert ROM. Slik gjør du det. Les mer som CyanogenMod Slik installerer du CyanogenMod på Android-enheten Slik installerer du CyanogenMod på Android-enheten Mange mennesker kan være enige om at Android-operativsystemet er ganske bra. Ikke bare er det flott å bruke, men det er også gratis som i åpen kildekode, slik at den kan endres ... Les mer for å erstatte versjonen av Android som følger med enheten din. Dette gir deg en oppdatert versjon av Android som ikke er sårbar, men det er litt mer arbeid.

remove-sensitive-data

Sikker, det kan ikke være noen kjente tilfeller av dette sikkerhetsproblemet som utnyttes, men det er bedre å være trygg enn beklager. Det ville være svært vanskelig å oppdage om en Android-enhet ble utnyttet.

Heartbleed har blitt brukt til å fange sensitiv skatteinformasjon, passord og andre data på nettet, så det er best å unngå å bruke programvare som er sårbar for Heartbleed-angrep.

Bilde Kreditt: Indi Samarajiva på Flickr

In this article