skip to main | skip to sidebar
5 commenti

Heartbleed, alcuni milioni di cellulari e tablet Android sono vulnerabili; (quasi) tutto OK per Apple

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

La falla di sicurezza denominata Heartbleed non è soltanto un problema per i gestori di siti: riguarda anche gli smartphone Android e alcuni dispositivi Apple.

Secondo Google, la versione 4.1.1 di Android, nota come Jelly Bean, è vulnerabile a questa falla di sicurezza di cui tanto si parla da qualche giorno. Sempre Google indica che sono attivi circa un miliardo di dispositivi Android e che circa un terzo di essi ha la versione 4.1.x di Android, per cui si può stimare ragionevolmente che i dispositivi Android vulnerabili siano alcuni milioni.

Google, responsabile di Android, ha già distribuito ai produttori di smartphone la correzione: spetta ora a questi ultimi distribuirla agli utenti. Nel frattempo potete verificare facilmente se siete vulnerabili a Heartbleed usando l'app Heartbleed Detector/ Security Scanner (in italiano Heartbleed Sicurezza Scanner). Controllate bene il nome e l'icona prima di installarla (la vedete qui sotto), perché ci sono parecchie imitazioni fasulle.


L'app comunica soltanto in inglese, ma è comunque abbastanza chiara: se dice “Everything is OK”, va tutto bene, anche se dice che il dispositivo è “affected”. La versione vulnerabile di OpenSSL può infatti essere presente ma con la funzione difettosa disattivata, e in questo caso non comporta rischi.

Per quanto riguarda i Mac, gli iPhone, gli iPod touch e gli iPad, invece, tutto a posto: Apple ha dichiarato che iOS e OS X non hanno mai usato la libreria OpenSSL che è al centro della falla Heartbleed. Ci sono invece problemi per i prodotti Apple Airport Extreme e AirPort Time Capsule, che in alcune versioni usano la libreria OpenSSL difettosa che sta alla base di Heartbleed. I loro utenti farebbero bene a scaricare e installare l'aggiornamento del firmware 7.7.3, per evitare accessi non autorizzati e altri problemi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
Everything is ok :) thank you!
Se non si riesce ad aggiornare (per via di restrizioni arbitrarie imposte dai produttori) dispositivi nati e cresciuti in rete, per quale motivo uno dovrebbe credere nella sicurezza dell'"Internet delle cose"? Quanti telefonini, router domestici, lampadari, frigoriferi, lavatrici, automobili saranno in eterno vulnerabili a problemi di sicurezza perché i produttori non vogliono aggiornarli?
e io ieri mi ero deciso a ricambiare tutte le password e oggi leggo che per mac e iPhone è tutto ok...mmm, nel dubbio un po' di password le ricambio ugualmente XD
E fai bene @il guasta.
Così giusto per rinfrescare la memoria...
http://www.theapplelounge.com/feature/bug-gotofail-ssl-ios-osx/
Giusto per statistica, dato che non mi pare di aver letto ancora un risultato del genere: a me (Android 4.2.2) dice che la versione OpenSSL (1.0.1c) montata è affetta dal bug, ma che il comportamento vulnerabile non è abilitato, quindi è tutto ok.