Як вразливість безпеки Heartbleed впливає на мій пристрій Android?

Уразливість " Heartbleed " в окремих версіях OpenSSL - це серйозна проблема безпеки, яка дозволяє зловмисним серверам або клієнтам непомітно отримувати несанкціоновані дані з іншого кінця з'єднання SSL / TLS.

На моєму пристрої Android встановлена ​​копія OpenSSL /system/lib. Його номер версії - 1.0.1c, що, мабуть, робить його вразливим до цієї атаки.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• Як це впливає на мене? Чи використовують додатки Android OpenSSL? Якщо ні, то чому саме там?
• Чи можу я очікувати оновлення прошивки від свого оператора? Якщо я виконую корінь свого телефону, чи можу я його сама оновити?

Зараз є нова атака, яка спрямована на бездротові мережі та підключені до них пристрої. Досить просто підключитися до корпоративної бездротової мережі (тієї, яка використовує EAP для безпеки), якщо ви використовуєте вразливу версію Android. Однак навряд чи (не цитуйте мене на цьому!), Що вони зможуть отримати що-небудь особливо чутливе з вашого пристрою Android цим методом. Можливо, ваш пароль бездротового з'єднання.

Ви можете скористатися інструментом виявлення ( додаткові відомості ), щоб перевірити, чи є на вашому пристрої вразлива системна вкладка OpenSSL. Зауважте, що, як згадує lars.duesing , можливо, конкретні програми статично пов'язані з уразливими версіями, відмінними від системної бібліотеки.

Згідно цього коментарі на Reddit , деякі версії Android будуть порушені цією помилкою. Що ще гірше, деякі веб-переглядачі, особливо вбудований і Chrome, можливо, користуються ним і тому є вразливими.

Android 4.1.1_r1 оновив OpenSSL до версії 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 вимкнув серцебиття: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Це залишає Android 4.1.1 вразливим! Швидкий перегляд моїх журналів доступу виявляє, що багато пристроїв все ще працює 4.1.1.

Деякі інші джерела свідчать, що 4.1.0 також вразливий .

Здається, найлегший спосіб виправити це - оновити цю версію, якщо це можливо. Якщо вам пощастить, ваш оператор випустить нову версію - але я б на це не розраховував. Якщо ні, то, можливо, доведеться дослідити власні ПЗУ, можливо, пониження чи вкорінення та вручну замінити бібліотеку.

Настійно рекомендуємо вирішити цю проблему. Ця помилка може призвести до крадіжки зловмисного сервера даних, включаючи імена користувачів та паролі, із вашого браузера.

Короткий натяк: МОЖЕ деякі програми використовувати свої власні openssl-libs (або їх частини). Це МОЖЕ відкрити проблеми на будь-якій ОС-версії.

І: Google усвідомлює проблему . В їх офіційній заяві говориться, що вразливий лише Android 4.1.1.

Усі версії Android захищені від CVE-2014-0160 (за винятком Android 4.1.1; інформація про виправлення для Android 4.1.1 розповсюджується партнерам Android).