Tjek om din Android telefon er sårbar over for Heartbleed

Vi har tidligere skrevet om den store OpenSSL sikkerhedsbrist kaldet Heartbleed. Sårbarheden fremkalder til stadighed hovedpiner hos mange server administratorer rundt omkring på nettet, men sikkerhedsforskere har også påpeget at fejlen kan udnyttes til at hacke Android enheder.

De større browsere benytter ikke OpenSSL-biblioteket til at implementere HTTPS og er derfor ikke påvirket af Heartbleed, det samme kan dog ikke siges om Android OS.

Ifølge Ars Technica kan en Android telefon kompromitteres ved at lokke en bruger ind på en side som indeholder noget kode der åbner ens bank-website eller anden hjemmeside med følsomme oplysninger i en anden tab. Ved at indsprøjte ondsindet trafik i en tab, kan angriberen muligvis hive information i hukommelsen ud, omkring de sider der er indlæst i de andre tabs.
En anden og mindre sofistikeret metode – men også væsentlig lettere at eksekvere – er ganske enkelt at bombardere en sårbar android browser med ondsindede kommandoer og fiske efter indhold i hukommelses der indeholder følsomme oplysninger.

Med så mange forskellige og tweakede Android versioner er det svært at give en endegyldig liste over hvilke versioner der er berørte af denne Heartbleed sårbarhed, men selskabet Lookout Mobile har lavet en applikation der kan fortælle om din enhed er berørt.

Applikationen kan downloades her og kan fortælle om din telefon indeholder en sårbar version af OpenSSL, og vil ligeledes oplyse om den stump kode (en udvidelse til at håndtere såkaldte heartbeats i OpenSSL) som er vært for sårbarheden er aktiveret.

Hvis du ikke har den sårbare version af OpenSSL eller (som mig) hvis du har, men ikke har heartbeat-udvidelsen aktiveret så skulle du være på den sikre side. Ellers er det en god ide at træde varsomt indtil der kommer en patch til operativsystemet.

Kilde: Gizmodo