Большинство из нас знает Heartbleed как ошибку, которая затрагивала веб-сайты и веб-серверы, но Android 4.1.1 также использует уязвимую версию OpenSSL. Другими словами, некоторые Android-смартфоны и планшеты уязвимы для атак Heartbleed.
Каковы риски?
Heartbleed использовался для атаки на различные веб-серверы. В двух словах, серверы, на которых работает уязвимая версия OpenSSL, имеют ошибку в шифровании, которую можно использовать. Посылая специально созданные пакеты, злоумышленники могут заставить веб-сервер отвечать частями своей рабочей памяти. Эта рабочая память может содержать конфиденциальные пароли, закрытые ключи шифрования и другие важные данные.
Конечно, ваше Android-устройство не работает как веб-сервер. Проблема в том, что недостаток может работать и в обратном направлении, если клиент — в данном случае Android — работает с уязвимым программным обеспечением OpenSSL. Другими словами, когда вы подключаетесь к вредоносному или скомпрометированному веб-сайту со своего устройства Android 4.1.1, веб-сайт может отправлять специально созданные пакеты и заставлять ваш телефон или планшет Android отвечать частями его рабочей памяти. Эта память может содержать конфиденциальные данные — например, она может выдавать данные, относящиеся к приложению для онлайн-банкинга, или номер вашей кредитной карты из приложения для онлайн-покупок, сохраненного в памяти. Он может выдавать пароли, личные сообщения и все, что может иметь ваш Android в памяти.
Если вы используете уязвимое устройство, веб-сайты, к которым вы подключаетесь через браузер и другие приложения, могут использовать недостаток Heartbleed для захвата содержимого памяти вашего устройства.
Сколько устройств уязвимо?
Google обнародовал эту информацию в своем блоге Heartbleed :
«Все версии Android защищены от CVE-2014-0160 (за ограниченным исключением Android 4.1.1; информация о исправлениях для Android 4.1.1 распространяется среди партнеров Android)».
Хорошей новостью является то, что ваше устройство Android, вероятно, в порядке. Плохая новость заключается в том, что панель инструментов разработчика Google указывает, что целых 33,5% устройств в активном использовании используют версию 4.1.x, также известную как Jelly Bean. Сюда входят устройства под управлением других версий Android 4.1. , поэтому мы не знаем точно, сколько устройств на самом деле работает под управлением Android 4.1.1.
Проверьте, является ли ваше устройство уязвимым
Если вы не уверены, какую версию Android используют ваши устройства, вам нужно сначала проверить. Откройте приложение «Настройки», прокрутите вниз до нижней части экрана и нажмите «О телефоне» или «О планшете». На этом экране вы увидите номер версии, отображаемый под версией Android.
Если вы видите что-либо, кроме 4.1.1, все в порядке. Если вы видите 4.1.1, у вас может быть проблема.
Чтобы дважды проверить, действительно ли вы уязвимы, вы можете установить приложение Lookout Heartbleed Security Scanner . Это приложение не просто проверяет установленную версию Android. Вместо этого он проверяет, является ли версия OpenSSL на вашем устройстве уязвимой для Heartbleed. Он также проверяет, действительно ли устройство уязвимо — если OpenSSL был создан без поддержки пульса на вашем устройстве, вы можете быть в безопасности.
Здесь мы используем Nexus 4 с Android 4.4.2 и Heartbleed Detector говорит, что OpenSSL уязвим. Тем не менее, функция пульса отключена в этой версии Android, поэтому мы в порядке. Несмотря на потенциально опасное сообщение, нам не о чем беспокоиться.
Обновите ваше устройство
Настоящее решение для уязвимых устройств — это обновление. Как сказали в Google, они пытаются помочь производителям устройств Android и операторам сотовой связи исправлять свои устройства. Тем не менее, мы все знаем, что ситуация с обновлением Android может привести к путанице. Производители могут обновлять множество различных устройств, поэтому они, возможно, еще не выпустили исправление — или они могут никогда не выпустить исправление, если устройство устарело. Даже если производитель выпустит патч, сотовые операторы должны будут развернуть его и могут тянуть ноги или просто никогда не выпустить патч.
Если ваше устройство уязвимо, попробуйте обновить его до последней доступной версии Android для вашего устройства, используя встроенную функцию обновления. Это будет варьироваться от устройства к устройству и от носителя к носителю.
Если вы не можете обновить
Если ваше оборудование Android уязвимо для Heartbleed и нет доступных патчей, надеюсь, вы скоро получите его. Чтобы быть в безопасности, вы должны избегать хранения конфиденциальных данных на вашем устройстве — это означает удаление приложений онлайн-банкинга, не вводите вашу кредитную карту в веб-сайты и приложения и тому подобное. Конечно, ваши пароли и сообщения все равно будут выставлены. Вы действительно должны избегать посещения веб-сайтов и максимально использовать приложения, если ваше устройство уязвимо.
На большинстве устройств Android нет уязвимой версии, и на большинстве устройств с уязвимыми версиями должны быть доступны обновления для решения этой проблемы. Если вы используете одно из немногих устройств, которое не было обновлено, вам следует прекратить хранение конфиденциальных данных на устройстве. Возможно, вы захотите связаться с вашим оператором или производителем устройства и узнать, скоро ли они выпустят обновление. Если ваше устройство не получает обновления, возможно, пришло время получить новое.
Конечно, вы всегда можете установить пользовательское ПЗУ как CyanogenMod чтобы заменить версию Android, поставляемую с вашим устройством. Это даст вам последнюю версию Android, которая не уязвима, но это немного больше работы.
Конечно, не может быть никаких известных случаев использования этой уязвимости, но лучше быть в безопасности, чем сожалеть. Было бы очень трудно определить, эксплуатировалось ли устройство Android.
Heartbleed используется для сбора конфиденциальной налоговой информации, паролей и других данных в Интернете, поэтому лучше избегать использования любого программного обеспечения, уязвимого для атак Heartbleed.
Изображение предоставлено: Инди Самараджива на Flickr