Cupid: Heartbleed colpisce router WiFi e Android 4.1.1.

Sempre con le stesse dinamiche della vulnerabilità Heartbleed, è possibile condurre un attacco alla memoria dei router wireless con EPA e TLS
di Andrea Bai pubblicata il 30 Maggio 2014, alle 16:31 nel canale SicurezzaAndroid
Il bug Heartbleed, a quasi due mesi dalla sua scoperta, rappresenta ancora una minaccia specie in una nuova forma chiamata "Cupid" che può compromettere, con le stesse dinamiche del bug originale, router WiFi e dispositivi mobile basati su determinate versioni del sistema operativo Android.
Le informazioni disponibili sono state rese note dal ricercatore di sicurezza Luis Grangeia: tramite Cupid, il bug Heartbleed può essere sfruttato per accedere a parte del contenuto della memoria presente in un router, con ovviamente il rischio di venire a conoscenza di credenziali di accesso, certificati o chiavi private.
Non è chiaro quale possa essere la portata di questa vulnerabilità, ma il danno dovrebbe essere verosimilmente più contenuto rispetto a quanto accaduto con Heartbleed. I bersagli più vulnerabili sono i router basati su EAP e che usano un tunnel TLS come parte del processo di autenticazione. Si tratta di una una soluzione spesso utilizzata per le reti wireless. In questi casi un attaccante può sfruttare la vulnerabilità per ottenere una chiave privata dal router o dal server di autenticazione, scavalcando qualsiasi misura di sicurezza.
L'attacco può avere come bersaglio solamente dispositivi entro la portata utile della rete WiFi. "E' una particolare variante che potrebbe essere più lenta da risolvere, ma non dovrebbe comunque essere diffusa come il bug originale, dal momento che l'universo di dispositivi vulnerabili è più piccolo".
Altro motivo di preoccupazione sono i dispositivi Android che ancora usano la versione 4.1.1 di Jelly Bean (ce ne sono in circolazione svariati milioni), che è noto essere vulnerabile al problema. In un attacco router-based, per esempio, l'attaccante potrebbe creare una rete "esca" e quindi operare un attacco Heartbleed per recuperare dati da qualsiasi dispositivo, connesso alla rete, affetto dalla vulnerabilità.
8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infocon le case che producono cellulari che se ne sbattono bellamente di upgradare a 4.4
poi uno deve uppare per forza con rom custom ma vedi tu..
Mai 1 update in anni che ce l'ho e questa settimana è apparso il primo (e mi sa pure ultimo, vista la veneranda età
"creare una rete "esca" e quindi operare un attacco Heartbleed per recuperare dati da qualsiasi dispositivo, connesso alla rete, affetto dalla vulnerabilità."
COMUNQUE non ci si dovrebbe connettere a una rete aperta sconosciuta, heartbleed o no.
con le case che producono cellulari che se ne sbattono bellamente di upgradare a 4.4
poi uno deve uppare per forza con rom custom ma vedi tu..
Solo Android 4.1.1 è vulnerabile
http://googleonlinesecurity.blogspo...to-address.html
http://googleonlinesecurity.blogspo...to-address.html
"Google stock Android 4.3 seems to be affected, too...
Heartbleed Detector App detects OpenSSL version 1.0.1e and warns to be affected by the bug! "
questo è riportato come commento dentro al link che hai postato, non so quanto sia veritiero tuttavia..
Nella 4.0.x la versione di openssh era precedente a quella col bug.
Dalla 4.1.2 in poi la funzionalità è disabilitata al momento del build.
Se non siete convinti:
https://android.googlesource.com/pl....1.2_r1%5E!/#F3
poi uno deve uppare per forza con rom custom ma vedi tu..
Ma, secondo te, come fanno a venderti uno smartphone all'anno?
CIAWA
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".