Как уязвимость безопасности Heartbleed влияет на мое устройство Android?

32

Уязвимость « Heartbleed » в определенных версиях OpenSSL является серьезной проблемой безопасности, которая позволяет вредоносным серверам или клиентам необнаруженным образом получать несанкционированные данные с другого конца соединения SSL / TLS.

На моем устройстве Android установлена ​​копия OpenSSL /system/lib. Номер версии 1.0.1c, что делает его уязвимым для этой атаки.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • Как это влияет на меня? Приложения Android используют OpenSSL? Если нет, то почему это там?
  • Можно ли ожидать обновления прошивки от моего оператора? Если я получу root, могу ли я обновить его сам?
Майкл Хэмптон
источник
Я думаю, что он не уязвим, если он не предлагает услуги с использованием openssl? Это должно повлиять на вас, если вы, например, запускаете сервер https или openssh. На самом деле я хотел опубликовать это как комментарий, чтобы обсудить, не вините меня, если я ошибаюсь ...
Давидбауман

Ответы:

15

В настоящее время существует новая атака , нацеленная на беспроводные сети и подключенные к ним устройства. Достаточно просто подключиться к корпоративной беспроводной сети (которая использует EAP для безопасности), если вы используете уязвимую версию Android. Тем не менее, маловероятно (не цитируйте меня по этому поводу!), Что они смогут извлечь что-то особенно чувствительное с вашего устройства Android с помощью этого метода. Может быть, ваш пароль беспроводного соединения.


Вы можете использовать инструмент обнаружения ( подробнее ), чтобы проверить, есть ли у вас уязвимая система OpenSSL lib на вашем устройстве. Обратите внимание, что, как упоминает lars.duesing , вполне возможно, что определенные приложения статически связаны с уязвимыми версиями, отличными от системной библиотеки.


Согласно этому комментарии на Reddit , некоторые версии Android будут затронуты этой ошибкой. Что еще хуже, некоторые браузеры, особенно встроенный и Chrome, возможно, используют его и поэтому уязвимы.

Android 4.1.1_r1 обновил OpenSSL до версии 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 отключил сердцебиение: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Это делает Android 4.1.1 уязвимым! Быстрый поиск в моих журналах доступа показывает, что на многих устройствах все еще работает 4.1.1.

Некоторые другие источники указывают, что 4.1.0 также уязвима .

Кажется, самый простой способ исправить это - по возможности обновить эту версию. Если вам повезет, ваш оператор выпустит новую версию - но я бы на это не рассчитывал. Если нет, вам, возможно, придется исследовать пользовательские ПЗУ, возможно, понижение версии или рутирование и ручную замену библиотеки.

Настоятельно рекомендуется решить эту проблему. Эта ошибка может привести к краже данных, включая имена пользователей и пароли, из вашего браузера вредоносным сервером.

боб
источник
1
Так что, если я правильно понимаю, только 4.1.1 была уязвима; старых и новых версий нет?
Майкл Хэмптон
2
@MichaelHampton Вот как это выглядит, да. Если только ПЗУ конкретного производителя не решило отправить другую библиотеку.
Боб
7

Краткий совет: МОГУТ БЫТЬ в некоторых приложениях использовать свои собственные openssl-библиотеки (или их части). Это МОЖЕТ открыть проблемы на любой ОС-версии.

И: Google знает о проблеме . В их официальном заявлении говорится, что только Android 4.1.1 был уязвим.

Все версии Android защищены от CVE-2014-0160 (за исключением Android 4.1.1; информация о исправлениях для Android 4.1.1 распространяется среди партнеров Android).

lars.duesing
источник
Приятно слышать официальный ответ от Google. Но я принял другой ответ, потому что он объясняет, почему 4.1.1 уязвима, а 4.1.2 больше не уязвима.
Майкл Хэмптон