Heartbleed est pas seulement un problème de bureau - votre android pourrait être un risque

La plupart d`entre nous savent heartbleed

comme un bug qui a affecté les sites Web et les serveurs Web, mais Android 4.1.1 utilise également la version vulnérable de OpenSSL. En d`autres termes, certains smartphones et tablettes Android sont vulnérables aux attaques heartbleed.Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite

Quel est le risque?

Heartbleed a été utilisé pour attaquer différents serveurs web. En un mot, les serveurs exécutant la version vulnérable de OpenSSL ont un bug dans leur cryptage qui peut être exploité. En envoyant des paquets spécialement conçus, les attaquants peuvent forcer le serveur Web pour répondre avec des morceaux de sa mémoire de travail. Cette mémoire de travail peut contenir des mots de passe sensibles, les clés de chiffrement privées, et d`autres données importantes.

Votre appareil Android ne fonctionne pas comme un serveur web, bien sûr. Le problème est le défaut peut également fonctionner en sens inverse si le client - Android, dans ce cas - est en cours d`exécution logiciel OpenSSL vulnérables. En d`autres termes, lorsque vous vous connectez à un site Web malveillant ou compromis de votre appareil Android 4.1.1, le site peut envoyer des paquets spécialement conçus et forcer votre téléphone ou tablette Android pour répondre avec des morceaux de sa mémoire de travail. Cette mémoire peut contenir des données sensibles - par exemple, il pourrait donner des données appartenant à une application bancaire en ligne ou votre numéro de carte de crédit à partir d`une application d`achat en ligne qui est enregistré dans la mémoire. Il pourrait donner des mots de passe, des messages privés, et tout ce que votre Android peut avoir en mémoire.

Si vous utilisez un périphérique vulnérable, les sites Web que vous connectez par votre navigateur et d`autres applications peuvent utiliser la faille heartbleed pour capturer le contenu de la mémoire de votre appareil.

Combien de dispositifs sont-ils vulnérables?

Google a divulgué ces informations dans leur blog d`information heartbleed:

« Toutes les versions d`Android sont immunisés contre la CVE-2014-0160 (à l`exception limitée d`Android 4.1.1- informations rapiéçage pour Android 4.1.1 est distribué aux partenaires Android). »

Les bonnes nouvelles sont que votre appareil Android est probablement très bien. Les mauvaises nouvelles sont que le tableau de bord développeur de Google indique que près de 33,5% des appareils en version d`exécution d`une utilisation active 4.1.x, également connu sous Jelly Bean. Cela inclut les appareils exécutant d`autres versions de Android 4.1, donc nous ne savons pas exactement combien de périphériques sont réellement en cours d`exécution 4.1.1 Android spécifiquement.Top 12 Jelly Bean Conseils pour une nouvelle expérience Google TabletTop 12 Jelly Bean Conseils pour une nouvelle expérience Google TabletAndroid Jelly Bean 4.2, d`abord livré sur le Nexus 7, offre une excellente nouvelle expérience de la tablette qui surpasse les versions précédentes d`Android. Elle a même impressionné notre fan d`Apple résident. Si vous avez un Nexus 7, ...Lire la suite

Vérifiez si votre appareil est vulnérable

Si vous n`êtes pas sûr de la version Android de vos appareils utilisent, vous aurez envie de vérifier d`abord. Ouvrez l`application Paramètres, faites défiler vers le bas de l`écran, puis appuyez sur À propos du téléphone ou À propos de la tablette. Vous verrez le numéro de version affichée sous la version Android sur cet écran.

Si vous voyez quoi que ce soit, mais 4.1.1, vous êtes très bien. Si vous voyez 4.1.1, vous pouvez avoir un problème.

Pour effectuer un double-vérifier si vous êtes réellement vulnérable, vous pouvez installer heartbleed app Security Scanner Lookout. Cette application ne se contente pas de vérifier votre version installée d`Android. , Il vérifie au lieu de voir si la version d`OpenSSL sur votre appareil est vulnérable à heartbleed. Il vérifie également si l`appareil est en fait vulnérable - si OpenSSL a été construit sans le support de battements de cœur sur votre appareil, vous pouvez effectivement être sécurisé.

Ici, nous utilisons un Nexus 4 avec Android 4.4.2 et heartbleed Detector dit OpenSSL est vulnérable. Cependant, la fonction de rythme cardiaque est désactivé sur cette version d`Android, donc nous sommes parfaitement bien. Malgré le message d`avertissement concernant potentiellement, nous ne devons pas nous inquiéter du tout.

Mettre à jour votre appareil

La vraie solution pour les appareils vulnérables est une mise à jour. Google dit, ils essaient d`aider les fabricants d`appareils Android et opérateurs cellulaires patcher leurs appareils. Cependant, nous savons tous que la situation de mise à jour Android peut être un gâchis. Les fabricants ont de nombreux appareils différents pour mettre à jour, ils peuvent ne pas avoir publié un correctif encore - ou ils ne peuvent jamais sortir un patch si l`appareil est plus ancien. Même si un fabricant publie un patch, les transporteurs cellulaires devront déployer et peuvent traîner les pieds ou tout simplement jamais libérer le patch.

Video: Heartbleed bug: How this dangerous computer security vulnerability works

Si votre appareil est vulnérable, vous devriez essayer de mettre à jour à la dernière version d`Android disponible pour votre appareil en utilisant sa fonction de mise à jour intégrée. Cela varie d`un appareil à un autre et un transporteur à.

Si vous ne pouvez pas mettre à jour

Si votre matériel Android est vulnérable à heartbleed et aucun patch sont disponibles, vous espérons obtenir un bientôt. Pour être sûr, vous devriez éviter de stocker des données sensibles sur votre appareil - cela signifie des applications bancaires Désinstaller en ligne, ne pas entrer dans votre carte de crédit dans les sites Web et des applications, et les choses semblables. Bien sûr, vos mots de passe et les messages seront toujours exposés. Vous devriez vraiment éviter de visiter des sites Web et des applications en utilisant autant que possible si votre appareil est une vulnérabilité.

Video: Cyber Security Expert On Heartbleed SSL Bug Talk @ 31c3

La majorité des appareils Android là ne sont pas une version vulnérable, et la majorité des appareils fonctionnant sous les versions vulnérables devraient avoir des mises à jour disponibles pour résoudre ce problème. Si vous utilisez l`un des rares appareils qui n`a pas été mis à jour, vous devez cesser de stocker des données sensibles sur l`appareil. Vous pouvez contacter votre opérateur ou le fabricant de l`appareil et voir si elles publierons une mise à jour bientôt. Si votre appareil ne reçoit pas une mise à jour, il peut être temps pour obtenir un nouveau.

Bien sûr, vous pouvez toujours installer une ROM personnalisée comme CyanogenMod pour remplacer la version d`Android qui vient avec votre appareil. Cela vous donnera une version à jour d`Android qui ne sont pas vulnérables, mais il est un peu plus de travail.Comment trouver et installer une ROM personnalisée pour votre appareil AndroidComment trouver et installer une ROM personnalisée pour votre appareil AndroidAndroid est super personnalisable, mais pour profiter pleinement de cela, vous avez besoin de flasher une ROM personnalisée. Voici comment faire.Lire la suite

Bien sûr, il ne peut y avoir de cas connus de cette vulnérabilité soit exploitée, mais il vaut mieux prévenir que guérir. Il serait très difficile de détecter si un appareil Android a été exploitée.

Video: Heart bleed bug exploit live attack on 3 websites

Heartbleed a été utilisé pour capturer des informations fiscales sensibles, mots de passe et d`autres données en ligne, il est donc préférable d`éviter d`utiliser un logiciel vulnérable aux attaques heartbleed.