Heartbleed不仅仅是桌面问题-您的Android可能会有风险

我们大多数人都将Heartbleed视为影响网站和Web服务器的错误，但是Android 4.1.1也使用易受攻击的OpenSSL版本。换句话说，某些Android智能手机和平板电脑容易受到Heartbleed攻击。

有什么风险？

Heartbleed已被用于攻击各种Web服务器。简而言之，运行易受攻击的OpenSSL版本的服务器在加密方面存在一个漏洞，可以利用。通过发送特制的数据包，攻击者可以迫使Web服务器以其工作内存的大块作为响应。该工作存储器可以包含敏感密码，私有加密密钥和其他重要数据。

您的Android设备当然不能用作网络服务器。问题在于，如果客户端（在这种情况下为Android）运行的是易受攻击的OpenSSL软件，则该缺陷也可以反向起作用。换句话说，当您从Android 4.1.1设备连接到恶意网站或受到威胁的网站时，该网站可以发送特制数据包，并强制您的Android手机或平板电脑使用其工作内存中的一部分进行响应。此内存可能包含敏感数据，例如，它可以从内存中保存的在线购物应用中泄露属于在线银行应用的数据或您的信用卡号。它可能会泄露密码，私人消息以及您的Android内存中可能包含的任何其他内容。

如果您使用的设备很脆弱，则通过浏览器和其他应用程序连接的网站可能会利用Heartbleed漏洞进行捕获设备内存中的内容。

有多少设备易受攻击？

Google在其Heartbleed信息博客文章中泄露了此信息：

“ Android不受CVE-2014-0160的影响（除了Android 4.1.1的例外；将Android 4.1.1的补丁信息分发给Android合作伙伴）。

好消息是，您的Android设备可能很好。坏消息是，Google的开发人员仪表板显示多达33.5％的活跃使用设备运行4.1.x版，也称为Jelly Bean。这包括运行其他版本的Android 4.1的设备，因此我们不确定确切有多少设备专门在运行Android 4.1.1。

检查您的设备是否易受攻击

如果不确定您的设备使用的是哪个Android版本，请先检查一下。打开设置应用程序，向下滚动到屏幕底部，然后点击关于手机或关于平板电脑。在该屏幕上，您会看到显示在Android版本下的版本号。

如果您看不到4.1.1，则可以。如果看到4.1.1，则可能是有问题。

要仔细检查您是否确实脆弱，您可能需要安装Lookout的Heartbleed Security Scanner应用。这个应用程式不仅会检查您安装的Android版本。相反，它会检查您设备上的OpenSSL版本是否容易受到Heartbleed的攻击。它还会检查该设备是否确实容易受到攻击-如果OpenSSL是在不支持设备心跳的情况下构建的，那么您实际上可能是安全的。

在这里，我们使用的是带有Android 4.4的Nexus 4。 2和Heartbleed Detector说OpenSSL容易受到攻击。但是，在此版本的Android上禁用了心跳功能，所以我们很好。尽管存在潜在的警告消息，我们也不必担心。

更新设备

针对易受攻击的设备的真正解决方案是更新。正如Google所说，他们正在努力帮助Android设备制造商和移动运营商修补其设备。但是，我们都知道，Android更新情况可能一团糟。制造商有许多不同的设备需要更新，因此他们可能尚未发布补丁-或如果设备较旧，则可能永远不会发布补丁。即使制造商发布了补丁程序，蜂窝运营商也将不得不部署该补丁程序，并且可能会拖延脚步，甚至从不发布补丁程序。

如果您的设备容易受到攻击，则应尝试更新至最新的可用版本使用其内置的更新功能为您的设备安装Android版。

如果您无法更新

如果您的Android硬件容易受到Heartbleed的影响，并且没有可用的补丁，则希望您很快就会得到一个。为了安全起见，您应该避免在设备上存储敏感数据-这意味着卸载在线银行应用程序，不要将信用卡输入网站和应用程序，以及类似的事情。当然，您的密码和消息仍然会被公开。如果您的设备存在漏洞，则应真正避免访问网站并尽可能使用应用程序。

那里的大多数Android设备运行的不是易受攻击的版本，并且大多数设备运行的是易受攻击的版本版本应具有可用的更新程序来解决此问题。如果您使用的是少数几台尚未更新的设备之一，则应停止在该设备上存储敏感数据。您可能需要与您的运营商或设备制造商联系，以了解他们是否即将发布更新。如果您的设备未收到更新，则可能是时候获取新更新了。

当然，您始终可以安装自定义ROM来替换设备随附的Android版本。这将为您提供一个不易受攻击的最新版本的Android，但需要做更多的工作。

当然，可能没有已知的利用此漏洞的案例，但是要安全，总比后悔好。很难检测到是否有人在使用Android设备。

Heartbleed已用于在线捕获敏感的税收信息，密码和其他数据，因此最好避免使用任何容易受到Heartbleed攻击的软件

图片来源：Flickr上的Indi Samarajiva