Heartbleed affligge milioni di Android 4.1.1 nel Mobile

MarketingMobile OsMobilitySicurezzaSoluzioni per la sicurezza
L'impatto di Heartbleed nel Mobile: milioni di dispositivi Android sono a rischio
4 0 3 commenti

L’impatto di Heartbleed nel Mobile: milioni di dispositivi Android sono a rischio. Ecco l’app rilasciata da Google per scoprire se il vostro Android è affetto dalla falla in OpenSSL

La vulnerabilità Heartbleed, che riguarda il codice di crittografia OpenSSL, studiato per proteggere i dati sensibili dell’utente, rischiava di esporre a malintenzionati password e numeri di carte di credito. La falla Heartbleed affliggeva il 66% dei siti Web. La Rete sta scoprendo che mettere al riparo tutti gli utenti, richiede più tempo del previsto per applicare la patch. Qualche azienda ha scoperto che l’aggiornamento software ha provocato un’interruzione del servizio, perdite di tempo e – in qualche raro caso – ha messo a repentaglio i dati sensibili degli utenti. Il sito di hosting Team Snap ha perso logo e dati dei siti dei suoi utenti. Yahoo! ha risolto la falla dopo aver scoperto che informazioni degli utenti sono finite su Internet.

Individuato da Google e dalla finlandese Codenomicon, il bug affligge anche il Mobile: Blackberry sta lavorando per rilasciare un fix per il servizio di messaggistica BBM per iOS e Android. Lo ha dichiarato l’azienda in un blog post. Non sono compromessi gli smartphone e tablet di Blackberry.

Secondo Cisco e Juniper, sono a rischio milioni di smartphone e tablet equipaggiati con Google Android, affetti da Heartbleed, la falla in OpenSSL, una crittografia open-source per il protocollo SSL. Ma risolvere il bug su milioni di dispositivi Android richiederà investimenti da parte dei vendor e degli operatori mobili wireless: sarà come distribuire un nuovo vaccino. Trend Micro ritiene che a rischio siano 6.000 apps.

Secondo Bloomberg, la National Security Agency (NSA) era a conoscenza da due anni della falla, tanto da averla sfruttata nel toolkit per spionaggio di massa, ma NSA nega. Il Presidente degli Stati Uniti Barack Obama ha detto che se NSA viene  conoscenza di gravi falle, dovrebbe denunciarle. Ma lo stesso Obama ha deciso, secondo il New York Times, che alcune vulnerabilità dovrebbero essere mantenute segrete. La Casa Bianca ha smentito il report secondo cui fosse a conoscenza del bug Haertbleed. A definire Heartblled un bug catastrofico è stato Bruce Schneier, esperto mondiale di crittografia: egli teme che, alla luce dello scandalo PRISM, possa essere stato incluso nel protocollo sotto pressione di NSA.

Google e Facebook sono stati i primi a correre ai ripari. Facebook ha detto di aver “attivato un potenziamento della protezione nell’ambito del sistema OpenSSL prima che il problema del bug Heartbleed fosse reso noto. Attualmente il social network non ha rilevato nessuna attività sospetta sugli account Facebook delle persone e continua a monitorare la situazione molto attentamente“.

 

L'impatto di Heartbleed nel Mobile: milioni di dispositivi Android sono a rischio
L’impatto di Heartbleed nel Mobile: milioni di dispositivi Android sono a rischio

McAfee, parte di Intel Security, ha rilasciato ‘Heartbleed Checker‘, un servizio per scoprire se un dominio di un sito sia stato colpito da Heartbleed e se abbia aggiornato alla versione sicura di OpenSSL: “Prima di cambiare le password – ha precisato Gary Davis, vice presidente marketing consumer di McAfee – è essenziale che gli utenti controllino se i siti che frequentano siano stati aggiornati”.

Anche Symantec ha messo a disposizione il sito per monitorare le piattaforme online.

Information Protection and Business Resilience di KPMG ricorda che cambiare password periodicamente è una buona pratica per evitare problemi.

Google ha prontamente rassicurato che solo Android 4.1.1 potrebbe essere affetto da questo bug. Per sapere se il vostro Android è a rischio, c’è un’app.

Sul 10% dei dispositivi Android gira la versione 4.1.1. Considerato che Android conta un miliardo di utenti, si tratta di un numero significativo.

Alcuni dispositivi non possono effettuare l’upgrade alla versione superiore. Sony Xperia E e Xperia J, HTC One S, Huawei Ascend Y300 e Asus PadFone 2. Google ha realizzato la patch, ma poi la distribuzione dipenderà da vendor e carrier: il software deve essere testato dagli operatori prima del rilascio. HTC ha dichiarato di avere a cuore la privacy degli utenti e che sarà rapida; Asus ha promesso un aggiornamento imminente.

In teoria possono essere sottratti solo 64K di dati, ma è abbastanza per trafugare credenziali.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore