Уязвимость « Heartbleed » в определенных версиях OpenSSL является серьезной проблемой безопасности, которая позволяет вредоносным серверам или клиентам необнаруженным образом получать несанкционированные данные с другого конца соединения SSL / TLS.
На моем устройстве Android установлена копия OpenSSL /system/lib
. Номер версии 1.0.1c, что делает его уязвимым для этой атаки.
shell@vanquish:/ $ grep ^OpenSSL\ /system/lib/libssl.so
OpenSSL 1.0.1c 10 May 2012
- Как это влияет на меня? Приложения Android используют OpenSSL? Если нет, то почему это там?
- Можно ли ожидать обновления прошивки от моего оператора? Если я получу root, могу ли я обновить его сам?
Ответы:
В настоящее время существует новая атака , нацеленная на беспроводные сети и подключенные к ним устройства. Достаточно просто подключиться к корпоративной беспроводной сети (которая использует EAP для безопасности), если вы используете уязвимую версию Android. Тем не менее, маловероятно (не цитируйте меня по этому поводу!), Что они смогут извлечь что-то особенно чувствительное с вашего устройства Android с помощью этого метода. Может быть, ваш пароль беспроводного соединения.
Вы можете использовать инструмент обнаружения ( подробнее ), чтобы проверить, есть ли у вас уязвимая система OpenSSL lib на вашем устройстве. Обратите внимание, что, как упоминает lars.duesing , вполне возможно, что определенные приложения статически связаны с уязвимыми версиями, отличными от системной библиотеки.
Согласно этому комментарии на Reddit , некоторые версии Android будут затронуты этой ошибкой. Что еще хуже, некоторые браузеры, особенно встроенный и Chrome, возможно, используют его и поэтому уязвимы.
Некоторые другие источники указывают, что 4.1.0 также уязвима .
Кажется, самый простой способ исправить это - по возможности обновить эту версию. Если вам повезет, ваш оператор выпустит новую версию - но я бы на это не рассчитывал. Если нет, вам, возможно, придется исследовать пользовательские ПЗУ, возможно, понижение версии или рутирование и ручную замену библиотеки.
Настоятельно рекомендуется решить эту проблему. Эта ошибка может привести к краже данных, включая имена пользователей и пароли, из вашего браузера вредоносным сервером.
источник
Краткий совет: МОГУТ БЫТЬ в некоторых приложениях использовать свои собственные openssl-библиотеки (или их части). Это МОЖЕТ открыть проблемы на любой ОС-версии.
И: Google знает о проблеме . В их официальном заявлении говорится, что только Android 4.1.1 был уязвим.
источник