Lỗ hổng bảo mật Heartbleed ảnh hưởng đến thiết bị Android của tôi như thế nào?

Các " Heartbleed " lỗ hổng trong các phiên bản đặc biệt của OpenSSL là một vấn đề an ninh nghiêm trọng cho phép các máy chủ độc hại hoặc khách hàng đến các lặng lấy dữ liệu trái phép từ đầu kia của một SSL kết nối / TLS.

Thiết bị Android của tôi có bản sao OpenSSL được cài đặt /system/lib. Số phiên bản của nó là 1.0.1c, dường như khiến nó dễ bị tấn công.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• no ảnh hưởng đên tôi thê nao? Các ứng dụng Android có sử dụng OpenSSL không? Nếu không, tại sao nó ở đó?
• Tôi có thể mong đợi một bản cập nhật firmware từ nhà mạng của tôi không? Nếu tôi root điện thoại, tôi có thể tự cập nhật không?

Hiện tại có một cuộc tấn công mới nhắm vào các mạng và thiết bị không dây được kết nối với chúng. Chỉ cần kết nối với mạng không dây của công ty (mạng sử dụng EAP để bảo mật) là đủ, nếu bạn đang chạy phiên bản Android dễ bị tấn công. Tuy nhiên, không chắc (đừng trích dẫn tôi về điều này!) Rằng họ sẽ có thể truy xuất mọi thứ đặc biệt nhạy cảm từ thiết bị Android của bạn bằng phương pháp này. Có thể mật khẩu kết nối không dây của bạn.

Bạn có thể sử dụng một công cụ phát hiện ( thông tin thêm ) để kiểm tra xem bạn có hệ thống dễ bị tổn thương OpenSSL trên thiết bị của mình không. Lưu ý rằng, như lars.duesing đề cập , có thể các ứng dụng cụ thể được liên kết tĩnh với các phiên bản dễ bị tổn thương khác với thư viện hệ thống.

Theo nhận xét này trên Reddit , một số phiên bản của Android đang bị ảnh hưởng bởi lỗi này. Tệ hơn nữa, một số trình duyệt, đặc biệt là một trình duyệt tích hợp và Chrome, có thể sử dụng nó và do đó dễ bị tấn công.

Android 4.1.1_r1 đã nâng cấp OpenSSL lên phiên bản 1.0.1: https://android.googlesource.com/pl platform / external / opensl.git / + / and-4-4.1.1_r1

Android 4.1.2_r1 tắt nhịp đập con tim: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Điều đó khiến Android 4.1.1 dễ bị tổn thương! Một grep nhanh trên nhật ký truy cập của tôi cho thấy có rất nhiều thiết bị vẫn đang chạy 4.1.1.

Một số nguồn khác chỉ ra rằng 4.1.0 cũng dễ bị tổn thương .

Có vẻ như cách dễ nhất để khắc phục là nâng cấp phiên bản đó, nếu có thể. Nếu bạn may mắn, nhà cung cấp dịch vụ của bạn sẽ phát hành phiên bản mới - nhưng tôi sẽ không tin vào điều đó. Nếu không, bạn có thể phải điều tra ROM tùy chỉnh, có thể hạ cấp hoặc root và thay thế thủ công thư viện.

Rất khuyến khích bạn giải quyết vấn đề này. Lỗi này có thể dẫn đến việc đánh cắp dữ liệu, bao gồm tên người dùng và mật khẩu, từ trình duyệt của bạn bởi một máy chủ độc hại.

Gợi ý ngắn: MAYBE một số ứng dụng sử dụng openssl-libs của riêng họ (hoặc các phần của chúng). Đó có thể mở các vấn đề trên bất kỳ phiên bản hệ điều hành.

Và: Google nhận thức được vấn đề . Tuyên bố chính thức của họ nói rằng chỉ có Android 4.1.1 là dễ bị tấn công.

Tất cả các phiên bản Android đều miễn nhiễm với CVE-2014-0160 (ngoại trừ hạn chế của Android 4.1.1; thông tin vá cho Android 4.1.1 đang được phân phối cho các đối tác Android).