Cerca de 50 milhões de smartphones Android espalhados pelo mundo podem estar vulneráveis ao Heartbleed, a recém descoberta falha de segurança nas bibliotecas OpenSSL. O bug afeta quase 20% dos sites na web e pode ser explorado por criminosos virtuais para roubo de dados pessoais. A informação é do jornal inglês The Guardian.
A publicação tomou como base um anúncio feito no Google Online Security Blog – blog de segurança do Google, desenvolvedor do Android – e também números obtidos junto à consultoria norte-americana Chitika. Segundo a página, qualquer dispositivo que esteja rodando as versões 4.1 e 4.1.1 do sistema, também conhecido como Jelly Bean, está vulnerável à exploração da falha.
O Google não confirmou quantos dispositivos estão expostos, ainda que tenha indicado que este número gire em torno de 10% dos smartphones ativados em todo o mundo. A empresa afirma ainda que modelos que tenham o Android a partir do 4.1.2 não correm riscos.
O risco do Heartbleed
Os dispositivos vulneráveis estariam expostos a uma técnica chamada “Heartbleed reverso”, em que um servidor malicioso seria capaz de explorar a falha do OpenSSL para pegar os dados do navegador do telefone, que podem incluir informações como senhas bancárias, além de logins e senhas de e-mails e redes sociais.
Ainda que o risco seja teórico, a preocupação em torno dos aparelhos vulneráveis existe por conta do fato de que fabricantes e operadoras abandonaram qualquer ação de atualização do sistema operacional Android em relação às versões mais antigas, incluindo a 4.1. Normalmente, os updates da plataforma são liberados por 18 meses após seu lançamento, ainda que o Google se esforce para fornecer ações de atualização mais coordenadas.
Ainda que aparelhos com esta versão já estejam fora das janelas de atualização, o Google diz que já forneceu às fabricantes e operadoras uma correção contra a vulnerabilidade do Heartbleed. No entanto, não ficou claro se esta solução será implementada rapidamente, ou mesmo se será implementada. A empresa de segurança Lookout, que desenvolve soluções de segurança para o Android, também produziu um app que permite ao usuário verificar se sua versão do sistema é vulnerável.
Marc Rogers, pesquisador de segurança da Lookout, afirmou que não há sinal de que hackers estejam tentando explorar dispositivos Android a partir desta vulnerabilidade. “Seria algo complexo e com uma taxa de sucesso muito baixa, até porque o hacker teria de explorar estes aparelhos um por um”, declarou o especialista. “No entanto, um ataque ao servidor é muito mais fácil de se realizar e afetaria um número maior de dispositivos. Logo, não veremos nenhuma ofensiva contra os smartphones em si, até que as opções contra os servidores estejam completamente esgotadas”.
Em relação a outros sistemas operacionais móveis, a Apple afirmou que não usa a versão vulnerável do Open SSL no iPhone ou iPad. A Microsoft também declarou que o Windows Phone também não é afetado.
[Fonte: The Guardian]
Leia também
- Heartbleed: cinco passos para proteger suas contas
- Heartbleed: uma falha que deixou seus dados na Web expostos durante dois anos
Acompanhe o Softonic nas redes sociais: curta a fanpage do Softonic no Facebook e siga @softonic_br no Twitter.