Heartbleed deixa mais de 50 milhões de dispositivos Android vulneráveis

Desde a última semana, a falha de segurança Heartbleed é destaque nos principais veículos de comunicação especializados em tecnologia. Ela já afetou grandes sites e diversos dispositivos ao redor do mundo, entre eles milhões de usuários finais de aparelhos Android.

O próprio Google já alertou que dispositivos rodando a versão 4.1.1 do sistema operacional móvel estavam vulneráveis a ataques relacionados ao Heartbleed capazes de roubar senhas, acessar o conteúdo de mensagens pessoais e outras informações privadas contidas na memória dos aparelhos.

Dados fornecidos por uma empresa de análise ao jornal britânico The Guardian indicam que cerca de 50 milhões de dispositivos Android estão vulneráveis – 4 milhões deles apenas nos Estados Unidos. O Google não confirma essa informação, embora tenha indicado que a quantidade é "inferior a 10%" de todos os dispositivos ativos em todo o mundo.

Já pesquisadores da empresa de segurança Lookout Mobile, que fornece software antivírus para smartphones com o sistema, disseram que algumas versões do Android 4.2.2 que foram personalizadas pelas operadoras ou fabricantes de hardware também podem estar suscetíveis à falha.

"Se você tem um dispositivo vulnerável e ainda não existe correção disponível para ele, você deve ser muito cauteloso em relação ao uso desse dispositivo para dados sensíveis", disse Marc Rogers, principal pesquisador da Lookout, ao site Arstechnica. "Eu tomaria cuidado ao usá-lo para serviços bancários ou envio de mensagens pessoais".

Quais são os riscos para dispositivos Android vulneráveis?

O cenário mais provável de ataque em um dispositivo Android vulnerável acontece quando o golpista atrai o usuário para um site malicioso onde é capaz de extrair os dados sensíveis que deseja, como login e senha de bancos, por exemplo. Trata-se de uma versão menos sofisticada de um ataque já conhecido, mas que também é mais fácil de ser executada e capaz de pescar qualquer conteúdo da memória dos dispositivos Android.

Felizmente, o sandbox de segurança do Android impede que um aplicativo malicioso acesse o conteúdo gravado na memória de outros aplicativos. Além disso, é importante lembrar que a maior parte dos aparelhos Android não está vulnerável. Porém, como também já sabemos, o Android é frequentemente personalizado por fabricantes específicos, o que possivelmente amplia a ameaça de vulnerabilidade para outras versões além da 4.1.1 e 4.2.2.

O Google afirma que está trabalhando com parceiros para implantar um patch capaz de resolver o problema do Heartbleed, mas, por outro lado, milhões de usuários nunca (ou raramente) instalam as atualizações de segurança disponibilizadas pelas empresas.

Outra possível ameaça aos aparelhos vulneráveis está na exploração realizada via rede Wi-Fi, onde os golpistas utilizam a conexão com a internet para induzir o usuário a se conectar a um site falso, onde pode facilmente capturar seus dados.

Como você pode se proteger?

• É importante ficar atento aos comunicados emitidos pelas empresas dos serviços que você utiliza. À medida que elas corrigem vulnerabilidades relacionadas ao Heartbleed e aumentam a proteção de seus sistemas, elas costumam enviar e-mails ou comunicados à imprensa para informar seus clientes;
• Altere as suas senhas. Se receber comunicados de qualquer fornecedor de serviços avisando que seu sistema está protegido, esta é a melhor hora para alterar as suas senhas. Alterá-las antes de um sistema ter sido protegido pode, na verdade, tornar a sua nova senha mais fácil de ser interceptada;
• Baixe o detector de Heartbleed. A própria empresa de segurança Lookout disponibiliza um aplicativo gratuito capaz de mostrar se o seu sistema operacional Android foi afetado pelo bug e se o comportamento vulnerável está presente. O app está disponível na Play Store.