Heartbleed ist nicht nur ein Desktop-Problem - Ihr Android könnte ein Risiko darstellen
Die meisten von uns wissen Heartbleed Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Lesen Sie mehr als einen Fehler, der Websites und Webserver betrifft, aber Android 4.1.1 verwendet auch die anfällige Version von OpenSSL. Mit anderen Worten, einige Android-Smartphones und -Tablets sind anfällig für Heartbleed-Angriffe.
Was ist das Risiko?
Heartbleed wurde verwendet, um verschiedene Webserver anzugreifen. Durch den Hype graben: Hat Heartbleed tatsächlich jemandem geschadet? Durch den Hype graben: Hat Heartbleed tatsächlich jemandem geschadet? Weiterlesen . Kurz gesagt, Server, auf denen die anfällige Version von OpenSSL ausgeführt wird, haben einen Verschlüsselungsfehler, der ausgenutzt werden kann. Durch das Senden von speziell gestalteten Paketen können Angreifer den Webserver dazu zwingen, mit Brocken seines Arbeitsspeichers zu antworten. Dieser Arbeitsspeicher kann vertrauliche Kennwörter, private Verschlüsselungsschlüssel und andere wichtige Daten enthalten.
Ihr Android-Gerät funktioniert natürlich nicht als Webserver. Das Problem ist, dass der Fehler auch umgekehrt funktionieren kann, wenn der Client - in diesem Fall Android - verwundbare OpenSSL-Software ausführt. Wenn Sie also von Ihrem Android 4.1.1-Gerät aus eine Verbindung zu einer böswilligen oder gefährdeten Website herstellen, kann die Website speziell gestaltete Pakete senden und Ihr Android-Telefon oder -Tablet zwingen, mit Brocken des Arbeitsspeichers zu reagieren. Dieser Speicher kann vertrauliche Daten enthalten. Beispielsweise können Daten einer Online-Banking-App oder Ihre Kreditkartennummer aus einer Online-Einkaufs-App, die im Speicher gespeichert ist, weitergegeben werden. Es kann Passwörter, private Nachrichten und alles, was Ihr Android noch im Speicher hat, weitergeben.
Wenn Sie ein anfälliges Gerät verwenden, können Websites, mit denen Sie über Ihren Browser eine Verbindung herstellen, und andere Apps den Heartbleed-Fehler verwenden, um den Speicherinhalt Ihres Geräts zu erfassen.
Wie viele Geräte sind anfällig?
Google hat diese Informationen in ihrem Heartbleed-Informationsblog veröffentlicht:
“Alle Versionen von Android sind gegen CVE-2014-0160 immun (mit Ausnahme von Android 4.1.1; Patch-Informationen für Android 4.1.1 werden an Android-Partner verteilt)..”
Die gute Nachricht ist, dass Ihr Android-Gerät wahrscheinlich in Ordnung ist. Die schlechte Nachricht ist, dass das Entwickler-Dashboard von Google angibt, dass bis zu 33,5% der aktiven Geräte die Version 4.1.x (auch als Jelly Bean bezeichnet) ausführen. Dazu gehören Geräte, auf denen andere Versionen von Android 4.1 ausgeführt werden. Top 12 Jelly Bean-Tipps für ein neues Google Tablet-Erlebnis Top 12 Jelly Bean-Tipps für ein neues Google Tablet-Erlebnis Android Jelly Bean 4.2, ursprünglich auf dem Nexus 7 ausgeliefert, bietet eine großartige neue Tablet-Erfahrung überstrahlt frühere Versionen von Android. Es hat sogar unseren ansässigen Apple-Fan beeindruckt. Wenn Sie über ein Nexus 7 verfügen, wissen wir nicht genau, auf wie vielen Geräten Android 4.1.1 gerade ausgeführt wird.
Überprüfen Sie, ob Ihr Gerät anfällig ist
Wenn Sie nicht sicher sind, welche Android-Version Ihre Geräte verwenden, sollten Sie zuerst prüfen. Öffnen Sie die App Einstellungen, blättern Sie zum unteren Rand des Bildschirms und tippen Sie auf Telefon oder Tablet. Die Versionsnummer wird unter Android-Version in diesem Bildschirm angezeigt.
Wenn Sie etwas anderes als 4.1.1 sehen, geht es Ihnen gut. Wenn Sie 4.1.1 sehen, liegt möglicherweise ein Problem vor.
Um zu überprüfen, ob Sie tatsächlich anfällig sind, können Sie die Heartbleed Security Scanner-App von Lookout installieren. Diese App überprüft nicht nur Ihre installierte Android-Version. Stattdessen wird geprüft, ob die Version von OpenSSL auf Ihrem Gerät für Heartbleed anfällig ist. Außerdem wird geprüft, ob das Gerät tatsächlich anfällig ist. Wenn OpenSSL ohne Unterstützung für Heartbeats auf Ihrem Gerät erstellt wurde, sind Sie möglicherweise sicher.
Hier verwenden wir einen Nexus 4 mit Android 4.4.2 und Heartbleed Detector, der besagt, dass OpenSSL anfällig ist. Die Heartbeat-Funktion ist jedoch in dieser Android-Version deaktiviert, sodass wir vollkommen in Ordnung sind. Trotz der möglicherweise betreffenden Warnmeldung müssen wir uns keine Sorgen machen.
Aktualisieren Sie Ihr Gerät
Die eigentliche Lösung für anfällige Geräte ist ein Update. Wie Google bereits sagte, versuchen sie Android-Geräteherstellern und Mobilfunkbetreibern zu helfen, ihre Geräte zu reparieren. Wir alle wissen jedoch, dass die Android-Aktualisierungssituation ein Chaos sein kann. Hersteller müssen viele verschiedene Geräte aktualisieren, daher haben sie möglicherweise noch keinen Patch herausgegeben - oder sie veröffentlichen möglicherweise niemals einen Patch, wenn das Gerät älter ist. Selbst wenn ein Hersteller einen Patch veröffentlicht, müssen ihn die Mobilfunkanbieter bereitstellen, ziehen möglicherweise die Füße hoch oder geben den Patch nie wieder frei.
Wenn Ihr Gerät anfällig ist, sollten Sie versuchen, mithilfe der integrierten Aktualisierungsfunktion auf die neueste verfügbare Android-Version für Ihr Gerät zu aktualisieren. Dies ist von Gerät zu Gerät und von Träger zu Träger unterschiedlich.
Wenn Sie nicht aktualisieren können
Wenn Ihre Android-Hardware anfällig für Heartbleed ist und keine Patches verfügbar sind, erhalten Sie hoffentlich bald einen. Um sicher zu gehen, sollten Sie die Speicherung vertraulicher Daten auf Ihrem Gerät vermeiden. Dies bedeutet, dass Sie Online-Banking-Apps deinstallieren und Ihre Kreditkarte nicht in Websites und Apps und Ähnliches eingeben. Natürlich werden Ihre Passwörter und Nachrichten weiterhin angezeigt. Sie sollten den Besuch von Websites und die Verwendung von Apps unbedingt vermeiden, wenn Ihr Gerät eine Sicherheitsanfälligkeit aufweist.
Die meisten Android-Geräte führen keine verwundbare Version aus, und die Mehrheit der Geräte, auf denen die anfälligen Versionen ausgeführt werden, sollte über Updates verfügen, um dieses Problem zu beheben. Wenn Sie eines der wenigen Geräte verwenden, das nicht aktualisiert wurde, sollten Sie die Speicherung vertraulicher Daten auf dem Gerät beenden. Wenden Sie sich an Ihren Mobilfunkanbieter oder an den Hersteller des Geräts, um zu erfahren, ob er in Kürze ein Update veröffentlicht. Wenn Ihr Gerät kein Update erhält, ist es möglicherweise an der Zeit, ein neues zu erhalten.
Natürlich können Sie jederzeit ein benutzerdefiniertes ROM installieren. So finden und installieren Sie ein benutzerdefiniertes ROM für Ihr Android-Gerät. So finden Sie ein benutzerdefiniertes ROM für Ihr Android-Gerät und installieren Sie es. Android ist super anpassbar, aber um dies voll ausnutzen zu können, müssen Sie dies unbedingt tun Flash ein benutzerdefiniertes ROM. So machen Sie das Lesen Sie mehr wie CyanogenMod So installieren Sie CyanogenMod auf Ihrem Android-Gerät So installieren Sie CyanogenMod auf Ihrem Android-Gerät Viele Menschen können sich darauf einigen, dass das Android-Betriebssystem ziemlich großartig ist. Es ist nicht nur großartig zu verwenden, sondern auch kostenlos wie in Open Source, sodass es modifiziert werden kann, um die Android-Version Ihres Geräts zu ersetzen. Dadurch erhalten Sie eine aktuelle Version von Android, die nicht anfällig ist, aber es ist etwas mehr Arbeit.
Sicher, es gibt zwar keine bekannten Fälle, in denen diese Sicherheitsanfälligkeit ausgenutzt wird, aber es ist besser, als sicher zu sein. Es wäre sehr schwer zu erkennen, ob ein Android-Gerät ausgenutzt wurde.
Heartbleed wurde verwendet, um sensible Steuerinformationen, Passwörter und andere Daten online zu erfassen. Aus diesem Grund sollten Sie keine Software verwenden, die anfällig für Heartbleed-Angriffe ist.
Bildnachweis: Indi Samarajiva auf Flickr
Erfahren Sie mehr über: Benutzerdefinierte Android-Rom, SSL.