Como verificar se o seu dispositivo Android pode ser hackeado via Heartbleed
O Heartbleed está causando uma dor de cabeça em centenas de servidores por toda a internet: mais de 500.000 certificados SSL são afetados pela falha, que pode expor dados criptografados – mas só 30.000 certificados foram reemitidos, segundo a Netcraft.
A vulnerabilidade ainda é um problema, e pesquisadores de segurança também alertam que ela permitiria hackear dispositivos Android. Veja como verificar se você está em risco.
A Symantec diz que, por si só, os principais navegadores web não seriam afetados pelo Heartbleed (porque não usam a biblioteca de criptografia OpenSSL para implementar o HTTPS). No entanto, o mesmo não acontece com o Android – e por isso ele pode ser comprometido. Como? O Ars Technica explica:
Para um hacker invadir um dispositivo Android vulnerável, o cenário mais provável é atrair o usuário para um site com armadilha, que transfere comandos não-autorizados vindos de um site confiável. Por exemplo, ele abre um site de banco em uma aba, e um site malicioso em outra. Ao injetar tráfego malicioso em uma aba, o hacker poderia extrair conteúdo da memória armazenado em outras abas.
Uma versão menos sofisticada do ataque, porém mais fácil de executar, é simplesmente injetar os comandos maliciosos no navegador Android vulnerável e pescar qualquer conteúdo da memória que possa ser obtido.
Como há muitas versões do Android – incluindo modificações de fabricantes, operadoras e modders – é difícil fornecer uma lista conclusiva de quais dispositivos são afetados. Mas boa notícia: o Heartbleed Detector, app gratuito desenvolvido pela Lookout, mostra se seu aparelho está em risco.
É simples: faça o download e rode o app. Ele diz se o dispositivo contém a versão vulnerável do OpenSSL afetada pelo Heartbleed, e se a falha está ativa. Se não for o caso – ou seja, se aparecer uma das duas telas acima com a mensagem “Everything is OK” – então não há problema. Caso contrário, é melhor agir com cuidado até que seu sistema operacional seja atualizado. [Heartbleed Detector via Ars Technica]
Imagem por senza senso sob licença Creative Commons