0 Compartilhamentos 473 Views

Heartbleed chega aos dispositivos Android e roteadores Wi-Fi

30 de maio de 2014

Sete semanas após o Heartbleed colocar a web em alerta máximo, o bug ainda está causando problemas. Um novo relatório do pesquisador de segurança português Luis Grangeia, descreve como o mesmo erro pode ser usado através de redes Wi-Fi para permitir novos tipos de ataques que se baseiam na mesma vulnerabilidade.

Apelidado de “Cupid”, a nova linha de ataques poderia realizar o mesmo procedimento do Heartbleed através de Wi-Fi em vez da web aberta, ou puxando dados de roteadores corporativos e usando um roteador malicioso para extrair dados a partir de dispositivos Android quando eles se conectarem à rede.

Em cada caso, o hacker seria capaz de ver trechos da memória a partir do dispositivo alvo, potencialmente expondo as credenciais do usuário, certificados de cliente ou suas senhas e chaves privadas. Grangeia publicou uma prova do conceito do bug, e está pedindo aos fornecedores e administradores para atualizarem seus dispositivos.

Ainda não está claro quantos dispositivos são vulneráveis​​, mas o dano é provavelmente muito mais contido do que o Heartbleed na web. Os alvos mais vulneráveis ​​são os roteadores baseados em EAP que exigem tanto um login individual quanto uma senha – uma configuração frequentemente encontrada em LANs sem fio.

Heartbleed

Nesses casos, um invasor pode usar o Heartbleed para puxar uma chave privada a partir do roteador ou servidor de autenticação, efetivamente ignorando quaisquer medidas de segurança. Grangeia diz que não fez testes suficientes para estimar quantos desses roteadores estão executand configurações vulneráveis. Embora sério, o ataque só poderia ter como alvo dispositivos dentro do alcance do Wi-Fi, o que limita seriamente os afetados.

Outra preocupação são os dispositivos Android que ainda executam a versão Jelly Bean 4.1.1, que é conhecida por ser vulnerável ​​ao bug. Só no mês passado, milhões de smartphones ainda estavam rodando o 4.1.1.

De forma mais ampla, esse é um lembrete de que o mundo da segurança ainda está lidando com vários efeitos pós-Heartbleed. Mesmo depois que os servidores centrais foram corrigidos, pesquisadores ainda podem descobrir ataques mais obscuros que vão atrás de alvos menos óbvios.

Carregando...

Você pode se interessar

Por que eu decidi não migrar para o Windows 11 agora
Artigos
61 visualizações
Artigos
61 visualizações

Por que eu decidi não migrar para o Windows 11 agora

Carlos L. A. da Silva - 19 de outubro de 2021

O novo sistema operacional da Microsoft está entre nós, mas talvez não seja uma boa ideia pular de cabeça.

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)
Artigos
205 visualizações
Artigos
205 visualizações

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)

Carlos L. A. da Silva - 6 de outubro de 2021

V8 é o interpretador JavaScript, também chamado de máquina virtual Javascript, desenvolvido pela Google e utilizado em seu navegador Google Chrome. Com o peso de seus criadores e a quase onipresença do navegador, foi apenas uma questão de tempo para essa implementação do JavaScritp se tornar dominante no mercado. Entretanto, um bom desenvolvedor sabe que […]

Sir Clive Sinclair, o homem adiantado no tempo
Artigos
385 visualizações
Artigos
385 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021

O inglês Clive Marles Sinclair nasceu de uma família de engenheiros. Seu avô foi engenheiro, assim como o seu pai. Com um talento natural pela Matemática e um forte interesse em eletrônica, ele se tornaria uma página importante da popularização da computação em diversas partes do mundo, construindo um legado que se perpetuará por anos […]

Deixe um Comentário

Your email address will not be published.

Mais publicações

A cibersegurança por trás das vacinas
Artigos
484 visualizações
484 visualizações

A cibersegurança por trás das vacinas

Carlos L. A. da Silva - 7 de setembro de 2021
Top 25 comandos do Git
Artigos
618 visualizações
618 visualizações

Top 25 comandos do Git

Carlos L. A. da Silva - 28 de agosto de 2021
Dez anos de Kotlin: origens e futuro
Artigos
672 visualizações
672 visualizações

Dez anos de Kotlin: origens e futuro

Carlos L. A. da Silva - 20 de agosto de 2021