Heartbleed is niet alleen een desktopprobleem - je Android kan een risico vormen
De meesten van ons weten Heartbleed Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Read More als een bug die van invloed is op websites en webservers, maar Android 4.1.1 gebruikt ook de kwetsbare versie van OpenSSL. Met andere woorden, sommige Android-smartphones en tablets zijn kwetsbaar voor Heartble-aanvallen.
Wat is het risico?
Heartbleed is gebruikt om verschillende webservers aan te vallen. Digging Through The Hype: Heeft Heartbleed eigenlijk iedereen geschaad? Door de hype graven: Heeft Heartbleed iemand feitelijk geschaad? Lees verder . Kort gezegd: servers met de kwetsbare versie van OpenSSL hebben een bug in hun codering die kan worden misbruikt. Door speciaal vervaardigde pakketten te verzenden, kunnen aanvallers de webserver dwingen te reageren met brokken van het werkgeheugen. Dit werkgeheugen kan gevoelige wachtwoorden, privécoderingssleutels en andere belangrijke gegevens bevatten.
Je Android-apparaat functioneert natuurlijk niet als een webserver. Het probleem is dat de fout ook omgekeerd werkt als de client - in dit geval Android - kwetsbare OpenSSL-software gebruikt. Met andere woorden, wanneer u verbinding maakt met een schadelijke of gehackte website vanaf uw Android 4.1.1-apparaat, kan de website speciaal vervaardigde pakketten verzenden en uw Android-telefoon of -tablet dwingen om te reageren met brokken van het werkgeheugen. Dit geheugen kan gevoelige gegevens bevatten. Het kan bijvoorbeeld gegevens van een app voor online bankieren of uw creditcardnummer weggeven van een app voor online winkelen die in het geheugen is opgeslagen. Het kan wachtwoorden, privéberichten en alles wat uw Android in het geheugen heeft, weggeven.
Als u een kwetsbaar apparaat gebruikt, kunnen websites waarmee u verbinding maakt via uw browser en andere apps de Heartbleed-fout gebruiken om de inhoud van het geheugen van uw apparaat vast te leggen.
Hoeveel apparaten zijn kwetsbaar?
Google heeft deze informatie bekendgemaakt in hun Heartbleed-informatieblogpost:
“Alle versies van Android zijn immuun voor CVE-2014-0160 (met de beperkte uitzondering van Android 4.1.1; patchinginformatie voor Android 4.1.1 wordt gedistribueerd naar Android-partners).”
Het goede nieuws is dat je Android-apparaat waarschijnlijk in orde is. Het slechte nieuws is dat het ontwikkelaarsdashboard van Google aangeeft dat maar liefst 33,5% van de apparaten in actief gebruik versie 4.1.x uitvoert, ook bekend als Jelly Bean. Dit geldt ook voor apparaten met andere versies van Android 4.1 Top 12 Jelly Bean-tips voor een nieuwe Google-tabletervaring Top 12 Jelly Bean-tips voor een nieuwe Google-tablet Ervaar Android Jelly Bean 4.2, in eerste instantie geleverd op de Nexus 7, biedt een geweldige nieuwe tabletervaring die overtreft eerdere versies van Android. Het maakte zelfs indruk op onze interne Apple-fan. Als u een Nexus 7 hebt, ... Lees meer, dus we weten niet precies hoeveel apparaten Android 4.1.1 specifiek gebruiken.
Controleer of uw apparaat kwetsbaar is
Als u niet zeker weet welke Android-versie uw apparaten gebruiken, moet u dit eerst controleren. Open de app Instellingen, scrol omlaag naar de onderkant van het scherm en tik op Over telefoon of Over tablet. Je ziet het versienummer onder Android-versie op dit scherm verschijnen.
Als je iets anders dan 4.1.1 ziet, gaat het goed. Als je 4.1.1 ziet, heb je mogelijk een probleem.
Als u nogmaals wilt controleren of u echt kwetsbaar bent, kunt u Lookout's Heartbleed Security Scanner-app installeren. Deze app controleert niet alleen je geïnstalleerde versie van Android. In plaats daarvan controleert het of de versie van OpenSSL op uw apparaat kwetsbaar is voor Heartbleed. Het controleert ook of het apparaat echt kwetsbaar is: als OpenSSL is gebouwd zonder ondersteuning voor heartbeats op uw apparaat, bent u mogelijk veilig.
Hier gebruiken we een Nexus 4 met Android 4.4.2 en Heartbleed Detector zegt dat OpenSSL kwetsbaar is. De heartbeat-functie is echter uitgeschakeld voor deze versie van Android, dus we zijn prima. Ondanks de mogelijk verontrustende waarschuwing, hoeven we ons geen zorgen te maken.
Update uw apparaat
De echte oplossing voor kwetsbare apparaten is een update. Zoals Google al zei, proberen ze fabrikanten van Android-apparaten en mobiele providers te helpen bij het patchen van hun apparaten. We weten echter allemaal dat de Android-updatesituatie een puinhoop kan zijn. Fabrikanten hebben veel verschillende apparaten om bij te werken, dus ze hebben misschien nog geen patch uitgegeven - of misschien geven ze nooit een patch vrij als het apparaat ouder is. Zelfs als een fabrikant een patch vrijgeeft, zullen mobiele providers deze moeten inzetten en mogelijk hun voeten slepen of de patch nooit vrijgeven.
Als uw apparaat kwetsbaar is, moet u proberen bij te werken naar de nieuwste beschikbare versie van Android voor uw apparaat met behulp van de ingebouwde updatefunctie. Dit varieert van apparaat tot apparaat en van drager tot aanbieder.
Als u niet kunt updaten
Als je Android-hardware kwetsbaar is voor Heartbleed en er zijn geen patches beschikbaar, hopelijk krijg je er binnenkort een. Om veilig te zijn, moet u voorkomen dat gevoelige gegevens op uw apparaat worden opgeslagen - dit betekent dat u apps voor online bankieren moet de-installeren, en uw creditcard niet moet invoeren in websites en apps en soortgelijke dingen. Natuurlijk worden uw wachtwoorden en berichten nog steeds zichtbaar. U moet echt voorkomen dat u websites bezoekt en apps zo veel mogelijk gebruikt als uw apparaat een kwetsbaarheid is.
De meeste Android-apparaten hebben geen kwetsbare versie en de meeste apparaten waarop de kwetsbare versies worden uitgevoerd, moeten beschikken over updates om dit probleem op te lossen. Als u een van de weinige apparaten gebruikt die niet zijn bijgewerkt, moet u stoppen met het opslaan van gevoelige gegevens op het apparaat. U kunt contact opnemen met uw provider of de fabrikant van het apparaat en kijken of ze binnenkort een update publiceren. Als uw apparaat geen update ontvangt, is het mogelijk tijd voor een nieuwe update.
Natuurlijk kunt u altijd een aangepast ROM installeren Een aangepast ROM voor uw Android-apparaat zoeken en installeren Een aangepast ROM voor uw Android-apparaat zoeken en installeren Android is super aanpasbaar, maar om hiervan ten volle te kunnen profiteren, moet u flash een aangepast ROM. Hier is hoe dat te doen. Lees meer zoals CyanogenMod Hoe CyanogenMod op uw Android-apparaat te installeren CyanogenMod op uw Android-apparaat installeren Veel mensen kunnen het ermee eens zijn dat het besturingssysteem Android behoorlijk indrukwekkend is. Het is niet alleen geweldig om te gebruiken, maar het is ook gratis als in open source, zodat het kan worden aangepast ... Lees meer om de versie van Android te vervangen die bij je apparaat wordt geleverd. Dit geeft je een bijgewerkte versie van Android die niet kwetsbaar is, maar het is een beetje meer werk.
Natuurlijk zijn er geen gevallen bekend waarbij dit beveiligingslek wordt misbruikt, maar het is beter om veilig te zijn dan sorry. Het zou heel moeilijk zijn om te ontdekken of een Android-apparaat werd uitgebuit.
Heartbleed is gebruikt om gevoelige belastinginformatie, wachtwoorden en andere gegevens online te registreren, dus u kunt het beste voorkomen dat u software gebruikt die kwetsbaar is voor Heartbleed-aanvallen.
Beeldcredits: Indi Samarajiva op Flickr
Meer informatie over: Aangepaste Android Rom, SSL.