Jak luka w zabezpieczeniach Heartbleed wpływa na moje urządzenie z Androidem?

Luka „ Heartbleed ” w poszczególnych wersjach OpenSSL stanowi poważny problem bezpieczeństwa, który pozwala złośliwym serwerom lub klientom w niewykrywalny sposób uzyskać nieautoryzowane dane z drugiego końca połączenia SSL / TLS.

Moje urządzenie z Androidem ma zainstalowaną kopię OpenSSL /system/lib. Jego wersja to 1.0.1c, co sprawia, że ​​jest podatna na ten atak.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• Jak to na mnie wpływa? Czy aplikacje na Androida korzystają z OpenSSL? Jeśli nie, to dlaczego?
• Czy mogę oczekiwać aktualizacji oprogramowania układowego od mojego operatora? Jeśli zrootuję telefon, czy mogę go zaktualizować samodzielnie?

Teraz jest nowy atak, który atakuje sieci bezprzewodowe i podłączone do nich urządzenia. Wystarczy podłączyć się do korporacyjnej sieci bezprzewodowej (korzystającej z protokołu EAP dla bezpieczeństwa), jeśli korzystasz z wrażliwej wersji Androida. Jednak jest mało prawdopodobne (nie cytuj mnie!), Że będą w stanie odzyskać wszystko szczególnie wrażliwe z urządzenia z Androidem za pomocą tej metody. Może twoje hasło do połączenia bezprzewodowego.

Możesz użyć narzędzia do wykrywania ( więcej informacji ), aby sprawdzić, czy masz podatny system OpenSSL lib na swoim urządzeniu. Zauważ, że jak wspomina lars.duesing , możliwe jest, że określone aplikacje są połączone statycznie z wrażliwymi wersjami innymi niż biblioteka systemowa.

Zgodnie z tym komentarzem na Reddit , niektóre wersje Androida są dotknięte tym błędem. Co gorsza, niektóre przeglądarki, zwłaszcza wbudowana i Chrome, prawdopodobnie używają go i dlatego są podatne na ataki.

Android 4.1.1_r1 zaktualizował OpenSSL do wersji 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 wyłączył bicie serca: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

To sprawia, że ​​Android 4.1.1 jest wrażliwy! Szybki grep w moich logach dostępu pokazuje, że wciąż działa wiele urządzeń 4.1.1.

Niektóre inne źródła wskazują, że 4.1.0 jest również podatny na ataki .

Wydaje się, że najłatwiejszym sposobem, aby to naprawić, jest aktualizacja tej wersji, jeśli to możliwe. Jeśli masz szczęście, Twój przewoźnik wyda nową wersję - ale nie liczyłbym na to. Jeśli nie, może być konieczne sprawdzenie niestandardowych pamięci ROM, być może obniżenie wersji lub zrootowanie i ręczne zastąpienie biblioteki.

Zdecydowanie zaleca się rozwiązanie tego problemu. Ten błąd może spowodować kradzież danych, w tym nazw użytkowników i haseł, z przeglądarki przez złośliwy serwer.

Krótka wskazówka: MOŻE niektóre aplikacje używają własnych bibliotek openssl-lib (lub ich części). To MOŻE powodować problemy w dowolnej wersji systemu operacyjnego.

I: Google zdaje sobie sprawę z problemu . Ich oficjalne oświadczenie mówi, że tylko Android 4.1.1 był podatny na ataki.

Wszystkie wersje Androida są odporne na CVE-2014-0160 (z ograniczonym wyjątkiem Androida 4.1.1; informacje o łatkach dla Androida 4.1.1 są rozpowszechniane wśród partnerów Androida).