Heartbleed är inte bara ett skrivbordsproblem - din Android kan vara en risk

De flesta av oss känner Heartbleed som en bugg som påverkade webbplatser och webbservrar, men Android 4.1.1 använder också den sårbara versionen av OpenSSL. Det betyder att vissa Android-smarttelefoner och -tabletter är sårbara mot hjärtinfarkt.

De flesta av oss känner Heartbleed som en bugg som påverkade webbplatser och webbservrar, men Android 4.1.1 använder också den sårbara versionen av OpenSSL.  Det betyder att vissa Android-smarttelefoner och -tabletter är sårbara mot hjärtinfarkt.
Annons

De flesta av oss känner Heartbleed Heartbleed - Vad kan du göra för att vara säker? Heartbleed - Vad kan du göra för att vara säker? Läs mer som ett fel som påverkar webbplatser och webbservrar, men Android 4.1.1 använder också den sårbara versionen av OpenSSL. Med andra ord, vissa Android-smarttelefoner och -tabletter är sårbara för Heartbleed-attacker.

Vad är risken?

Heartbleed har använts för att attackera olika webbservrar. Digging Through The Hype: Har Heartbleed Skadats Verkligen? Gräva genom Hype: Har Heartbleed skadat någonting? Läs mer . I ett nötskal har servrar som kör den sårbara versionen av OpenSSL ett fel i deras kryptering som kan utnyttjas. Genom att skicka specialtillverkade paket kan attackerar tvinga webbservern att svara med bitar av arbetsminnet. Det här arbetsminnet kan innehålla känsliga lösenord, privata krypteringsnycklar och annan viktig data.

Din Android-enhet fungerar inte som en webbserver, förstås. Problemet är att felet också kan fungera omvänd om klienten - Android, i det här fallet - kör sårbar OpenSSL-programvara. Med andra ord, när du ansluter till en skadlig eller kompromisslös webbplats från din Android 4.1.1-enhet kan webbplatsen skicka specialtillverkade paket och tvinga din Android-telefon eller surfplatta att svara med bitar av arbetsminnet. Det här minnet kan innehålla känslig data. Det kan till exempel ge bort data som tillhör en onlinebankapp eller ditt kreditkortsnummer från en online-köpapp som sparats i minnet. Det kan ge bort lösenord, privata meddelanden och allt annat som Android kan ha i minnet.

Om du använder en sårbar enhet kan webbplatser som du ansluter till via din webbläsare och andra appar använda Heartbleed-felet för att fånga innehållet i enhetens minne.

android-heartbleed-bug

Hur många enheter är sårbara?

Google avslöjade den här informationen i sitt Heartbleed-informationsblogpost:

"Alla versioner av Android är immuniska mot CVE-2014-0160 (med det begränsade undantaget för Android 4.1.1, patchinformation för Android 4.1.1 distribueras till Android-partners)."

Den goda nyheten är att din Android-enhet är troligen bra. Den dåliga nyheten är att Googles utvecklingspanel indikerar att så många som 33, 5% av enheterna i aktiv användning kör version 4.1.x, även känd som Jelly Bean. Detta inkluderar enheter som kör andra versioner av Android 4.1 Top 12 Jelly Bean Tips för en ny Google Tablet-upplevelse Top 12 Jelly Bean Tips för en ny Google Tablet-upplevelse Android Jelly Bean 4.2, som ursprungligen skickades på Nexus 7, ger en bra ny tablettupplevelse som outshines tidigare versioner av Android. Det imponerade även vår bosatta Apple-fan. Om du har en Nexus 7, ... Läs mer, så vi vet inte exakt hur många enheter som faktiskt kör Android 4.1.1 specifikt.

android-version-share-statistics

Kontrollera om din enhet är utsatt

Om du inte är säker på vilken Android-version dina enheter använder, vill du kolla först. Öppna appen Inställningar, bläddra ner till undersidan av skärmen och tryck på Om telefon eller Om tablet. Du får se versionsnumret som visas under Android-versionen på den här skärmen.

Om du ser något annat än 4.1.1, är du bra. Om du ser 4.1.1 kan du få problem.

find-android-version-number

För att dubbelklicka om du är faktiskt sårbar kanske du vill installera Lookouts Heartbleed Security Scanner-app. Den här appen kontrollerar inte bara din installerade version av Android. Istället kontrollerar den att se om versionen av OpenSSL på din enhet är sårbar mot Heartbleed. Det kontrollerar också att enheten är sårbar - om OpenSSL har byggts utan stöd för hjärtslag på din enhet kan du faktiskt vara säker.

Här använder vi en Nexus 4 med Android 4.4.2 och Heartbleed Detector säger OpenSSL är sårbar. Hjärtslagsfunktionen är dock inaktiverad i den här versionen av Android, så vi har det bra. Trots det potentiellt gällande varningsmeddelandet behöver vi inte oroa oss alls.

is-my-android-vulnerable-to-heartbleed

Uppdatera din enhet

Den verkliga lösningen för sårbara enheter är en uppdatering. Som Google sa försöker de hjälpa Android-enhetstillverkare och mobila bärare att lappa sina enheter. Men vi vet alla att Android-uppdateringssituationen kan vara en röra. Tillverkare har många olika enheter att uppdatera, så de kanske inte har utfärdat en patch ännu - eller de kan aldrig släppa en patch om enheten är äldre. Även om en tillverkare släpper ut en plåstret, kommer mobilbärare att behöva installera den och kan dra sina fötter eller bara släppa aldrig plåstret.

Om enheten är sårbar bör du försöka uppdatera till den senaste tillgängliga versionen av Android för enheten med hjälp av den inbyggda uppdateringsfunktionen. Detta varierar från enhet till enhet och bärare till bärare.

update-android

Om du inte kan uppdatera

Om din Android-maskinvara är sårbar för Heartbleed och inga korrigeringsfiler finns tillgängliga, kommer du förhoppningsvis att få en snart. För att vara säker bör du undvika att lagra känslig data på din enhet - det innebär att avinstallera webbbankapps, inte ange ditt kreditkort i webbplatser och appar och liknande saker. Naturligtvis kommer dina lösenord och meddelanden fortfarande att exponeras. Du borde verkligen undvika att besöka webbplatser och använda appar så mycket som möjligt om enheten är en sårbarhet.

Majoriteten av Android-enheter där ute kör inte en sårbar version, och de flesta enheter som kör de sårbara versionerna bör ha uppdateringar tillgängliga för att åtgärda detta problem. Om du använder någon av de få enheter som inte har uppdaterats bör du sluta lagra känslig data på enheten. Du kanske vill kontakta din operatör eller tillverkarens tillverkare och se om de kommer att släppa en uppdatering snart. Om enheten inte får en uppdatering kan det vara dags att skaffa en ny.

Naturligtvis kan du alltid installera en anpassad ROM Så här hittar du och installerar en anpassad ROM för din Android-enhet Hur man hittar och installerar en anpassad ROM för din Android-enhet Android är super anpassningsbar, men för att dra full nytta av det måste du blinka en anpassad ROM. Så här gör du det. Läs mer som CyanogenMod Hur installerar CyanogenMod på din Android-enhet Så här installerar du CyanogenMod på din Android-enhet En hel del människor kan komma överens om att Android-operativsystemet är ganska bra. Det är inte bara bra att använda, men det är också gratis som i öppen källkod, så att den kan ändras ... Läs mer för att ersätta den version av Android som följer med enheten. Detta ger dig en uppdaterad version av Android som inte är sårbar, men det är lite mer arbete.

remove-sensitive-data

Visst, det kan inte finnas några kända fall där denna sårbarhet utnyttjas, men det är bättre att vara säker än förlåt. Det skulle vara mycket svårt att upptäcka om en Android-enhet utnyttjades.

Heartbleed har använts för att fånga känslig skatteinformation, lösenord och annan data på nätet, så det är bäst att undvika att använda programvara som är sårbar för Heartbleed-attacker.

Bildkrediter: Indi Samarajiva på Flickr

In this article