Как уязвимость безопасности Heartbleed влияет на мое устройство Android?

Уязвимость « Heartbleed » в определенных версиях OpenSSL является серьезной проблемой безопасности, которая позволяет вредоносным серверам или клиентам необнаруженным образом получать несанкционированные данные с другого конца соединения SSL / TLS.

На моем устройстве Android установлена ​​копия OpenSSL /system/lib. Номер версии 1.0.1c, что делает его уязвимым для этой атаки.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• Как это влияет на меня? Приложения Android используют OpenSSL? Если нет, то почему это там?
• Можно ли ожидать обновления прошивки от моего оператора? Если я получу root, могу ли я обновить его сам?

В настоящее время существует новая атака , нацеленная на беспроводные сети и подключенные к ним устройства. Достаточно просто подключиться к корпоративной беспроводной сети (которая использует EAP для безопасности), если вы используете уязвимую версию Android. Тем не менее, маловероятно (не цитируйте меня по этому поводу!), Что они смогут извлечь что-то особенно чувствительное с вашего устройства Android с помощью этого метода. Может быть, ваш пароль беспроводного соединения.

Вы можете использовать инструмент обнаружения ( подробнее ), чтобы проверить, есть ли у вас уязвимая система OpenSSL lib на вашем устройстве. Обратите внимание, что, как упоминает lars.duesing , вполне возможно, что определенные приложения статически связаны с уязвимыми версиями, отличными от системной библиотеки.

Согласно этому комментарии на Reddit , некоторые версии Android будут затронуты этой ошибкой. Что еще хуже, некоторые браузеры, особенно встроенный и Chrome, возможно, используют его и поэтому уязвимы.

Android 4.1.1_r1 обновил OpenSSL до версии 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 отключил сердцебиение: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Это делает Android 4.1.1 уязвимым! Быстрый поиск в моих журналах доступа показывает, что на многих устройствах все еще работает 4.1.1.

Некоторые другие источники указывают, что 4.1.0 также уязвима .

Кажется, самый простой способ исправить это - по возможности обновить эту версию. Если вам повезет, ваш оператор выпустит новую версию - но я бы на это не рассчитывал. Если нет, вам, возможно, придется исследовать пользовательские ПЗУ, возможно, понижение версии или рутирование и ручную замену библиотеки.

Настоятельно рекомендуется решить эту проблему. Эта ошибка может привести к краже данных, включая имена пользователей и пароли, из вашего браузера вредоносным сервером.

Краткий совет: МОГУТ БЫТЬ в некоторых приложениях использовать свои собственные openssl-библиотеки (или их части). Это МОЖЕТ открыть проблемы на любой ОС-версии.

И: Google знает о проблеме . В их официальном заявлении говорится, что только Android 4.1.1 был уязвим.

Все версии Android защищены от CVE-2014-0160 (за исключением Android 4.1.1; информация о исправлениях для Android 4.1.1 распространяется среди партнеров Android).