heartbleed-mobile

O Heartbleed foi o protagonista dos últimos dias no mundo da tecnologia. O exploit em uma biblioteca SSL que poderia vazar informações pessoais até então consideradas seguras foi motivo de preocupação de muitos usuários ao redor do planeta (sem falar nas críticas à NSA, que supostamente sabia da falha a, pelo menos, dois anos). E a melhor descrição do problema é mesmo esse coração sangrando do topo do post.

O problema não só afeta as páginas mais populares da internet, servidores e VPNs, mas também outros dispositivos que contam com essa mesma vulnerabilidade ao utilizarem o OpenSSL. É o caso de alguns produtos da Cisco e Juniper Networks. Mais: eles afetam os também os smartphones dos sistemas operacionais móveis mais populares.

Esse post mostra como o Heartbleed afetou esses sistemas, e o que você pode fazer para se prevenir.

Android

A Google foi uma das primeiras que reconheceu oficialmente que foi afetada pelo Heartbleed. Através do seu blog oficial, garantem que a única versão vulnerável do Android é a 4.1.1. As versões anteriores e posteriores, na teoria, não apresentam ssem problema, e a Google já teria “parcheado” a falha, porém, ainda falta as operadoras liberarem a atualização para os seus clientes.

Se você quer eliminar a dúvida se o seu smartphone Android está ou não afetado pelo Heartbleed, existem diferentes aplicativos que podem verificar a tal falha (como por exemplo oBluebox Heartbleed Scanner ou o Heartbleed Detector). 

Sobre a Google Play, a Google também reconhece que sofreu do mesmo problema, mas afirmam que o mesmo já foi solucionado. É recomendado que você troque a sua senha.

Comunicado oficial da Google

iOS

A Apple foi muito contundente: “o iOS e OS X nunca incorporaram esse software vulnerável, e os serviços web principais não foram afetados”.

Declarações da Apple para o Re/code

Windows Phone

A Microsoft garante que não foi vítima do Heartbleed. “Depois de uma meticulosa investigação, a Microsoft determinou que as contas Microsoft, Microsoft Azure, Office 365, Yammer e Skype, além da maioria dos serviços da Microsoft, não foram afetados pelo Heartbleed”.

Mais adiante, eles adicionaram que “alguns serviços seguirão sendo revisados e atualizados com maiores proteções”.

No dia seguinte ao comunicado, em matéria publicada pela Bloomberg, a Microsoft afirmou que o Windows Phone estava livre da citada falha.

En declaraciones a Bloomberg, desde Microsoft decían un día después que Windows Phone está a salvo.

Comunicado oficial da Microsoft

BlackBerry

Se o seu sistema operacional não foi afetado, dois dos produtos da BlackBerry sofreram da falha do Heartbleed: a ferramenta de e-mail corporativo Secure Work Space, e o aplicativo BBM para Android e iOS. Segundo a Reuters, está prevista para hoje (15) uma atualização que vai solucionar esse problema.

A BlackBerry garante que no seu caso o bug não representa um grande problema de segurança: “O nível de risco aqui é muito pequeno. Seria um ataque muito completo, que teria que levar em conta uma janela de tempo muito pequena”. Para isso, seria preciso obter acesso aos aplicativos através da mesma rede WiFi ou pela própria rede da operadora que utiliza o dispositivo vulnerável, de acordo com a explicação da própria BlackBerry.

Explicação oficial da BlackBerry

Aplicativos

O fato do BlackBerry Messenger estar afetado pelo Heartbleed já nos dá uma possível ideia da extensão do problema: muito além dos próprios fabricantes, alguns aplicativos podem ser afetados pela vulnerabilidade. Alguns apps usam rotinas que passam por servidores vulneráveis (pense em uma compra in-app ou em um login onde nossos dados são armazenados remotamente em um site afetado pelo problema).

O site da TrendMicro realizou uma análise dos aplicativos mais populares da Google Play, e de 390 mil apps analisados, 7 mil se conectavam em servidores afetados. Neste caso, mesmo que o estudo só envolva apps da Google Play, os aplicativos afetados estão em todos os sistemas operacionais móveis que citamos nesse post. O servidor, que é o elo mais fraco, é o elemento comum a todos eles.

Dropbox, Box, Facebook, Flickr, Instagram, Tumblr… por enquanto, sabemos que todos esses aplicativos sofreram do problema, e que já o solucionaram (por isso, vale a pena trocar as suas senhas nesses serviços o quanto antes), mas certamente vamos tomar conhecimento de mais serviços nos próximos dias. Clique aqui e veja uma lista detalhada, publicada pelo Digital Trends.

O que fazer?

Infelizmente, todos nós, meros mortais usuários, pouco ou nada podemos fazer para solucionar o problema. São os próprios fabricantes e desenvolvedores que devem preparar soluções para os seus sistemas operacionais e aplicativos. Por enquanto, se o seu smartphone está afetado pelo Heartbleed, o melhor é atualizar a versão do Android, se isso for possível. Caso contrário, o jeito é não utilizar o dispositivo para a transmissão de dados mais sensíveis.

No caso dos aplicativos, segue o conselho de esperar que o app seja atualizado, e uma vez que o problema for solucionado pelo desenvolvedor, troque a sua senha de acesso, por precaução. Porém, cuidado: é preciso seguir essa ordem. De nada serve mudar a sua senha se o serviço segue vulnerável.