Na segunda-feira, 7 de abril, uma grande vulnerabilidade conhecida como “Heartbleed” foi encontrada na popular biblioteca criptográfica OpenSSL, amplamente usada com aplicativos e servidores web. Os sites e serviços na Internet estão, portanto, ocupados corrigindo essa vulnerabilidade e atualizando os certificados SSL para proteger seus clientes. Como dito, o OpenSSL v1.0.1 a 1.0.1f (inclusive) são vulneráveis e o OpenSSL 1.0.1g lançado em 7 de abril de 2014 corrige esse bug.
Um trecho de Heartbleed.com diz,
O Bug Heartbleed é uma vulnerabilidade séria na popular biblioteca de software criptográfico OpenSSL. Esta fragilidade permite roubar as informações protegidas, em condições normais, pela criptografia SSL / TLS usada para proteger a Internet. SSL / TLS fornece segurança de comunicação e privacidade na Internet para aplicativos como web, e-mail, mensagens instantâneas (IM) e algumas redes virtuais privadas (VPNs).
O bug Heartbleed permite que qualquer pessoa na Internet leia a memória dos sistemas protegidos pelas versões vulneráveis do software OpenSSL. Isso permite que os invasores bisbilhotem as comunicações, roubem dados diretamente dos serviços e usuários e se façam passar por serviços e usuários.
Verifique se o seu site ou telefone Android é afetado pelo bug Heartbleed –
Existem alguns serviços que podem dizer se o site que você confiou suas informações estava ou ainda está vulnerável e quando seu certificado foi atualizado.
Teste Heartbleed de Filippo Valsorda - filippo.io/Heartbleed
Digite um URL ou um nome de host para testar seu servidor para Heartbleed (CVE-2014-0160). Você pode especificar uma porta como esta example.com:4433. 443 por padrão.
Verificador LastPass Heartbleed - lastpass.com/heartbleed
Veja se um site é vulnerável ao Heartbleed. Mostra o software do servidor do site, informa se ele estava vulnerável e se o certificado SSL agora está seguro e quando foi criado pela última vez.
Chromebleed (extensão do Google Chrome)
Exibe um aviso se o site que você está navegando foi afetado pelo bug Heartbleed. Ele verifica o URL da página usando o serviço de Filippo. Útil se você não deseja verificar os sites manualmente.
O Mashable compilou uma lista interessante de sites conhecidos informando seu status atual, se eles foram afetados e se você deve alterar sua senha.
Detector Heartbleed para Android -
Os usuários do Android podem verificar facilmente se o seu dispositivo Android é vulnerável ao bug HeartBleed com um aplicativo gratuito chamado “Heartbleed Detector” da Lookout Mobile Security. O aplicativo determina qual versão do OpenSSL seu dispositivo está usando. Se o seu dispositivo estiver executando uma das versões afetadas do OpenSSL, ele verifica se o comportamento vulnerável específico está habilitado ou não.
No entanto, se o seu dispositivo estiver vulnerável, não há nenhuma ação necessária que você possa tomar, a menos que um patch seja lançado pelo Google ou pelo fabricante do dispositivo.
Tags: AndroidSecurity