In che modo la vulnerabilità della sicurezza Heartbleed influisce sul mio dispositivo Android?

La vulnerabilità " Heartbleed " in particolari versioni di OpenSSL è un grave problema di sicurezza che consente a server o client dannosi di ottenere dati non autorizzati dall'altra estremità di una connessione SSL / TLS.

Nel mio dispositivo Android è installata una copia di OpenSSL /system/lib. Il suo numero di versione è 1.0.1c, che sembra renderlo vulnerabile a questo attacco.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• Come mi influenza? Le app Android usano OpenSSL? In caso contrario, perché è lì?
• Posso aspettarmi un aggiornamento del firmware dal mio operatore? Se eseguo il root del mio telefono, posso aggiornarlo da solo?

Ora c'è un nuovo attacco che prende di mira le reti wireless e i dispositivi ad essi collegati. È sufficiente collegarsi a una rete wireless aziendale (una che utilizza EAP per la sicurezza), se si utilizza una versione vulnerabile di Android. Tuttavia, è improbabile (non citarmi su questo!) Che saranno in grado di recuperare qualsiasi cosa particolarmente sensibile dal tuo dispositivo Android con questo metodo. Forse la password della tua connessione wireless.

È possibile utilizzare uno strumento di rilevamento ( ulteriori informazioni ) per verificare se sul proprio dispositivo è presente una libreria OpenSSL vulnerabile del sistema. Si noti che, come menziona lars.duesing , è possibile che app specifiche siano staticamente collegate a versioni vulnerabili diverse dalla libreria di sistema.

Secondo questo commento su Reddit , alcune versioni di Android sono interessate da questo errore. Peggio ancora, alcuni browser, in particolare quello integrato e Chrome, probabilmente lo usano e sono quindi vulnerabili.

Android 4.1.1_r1 ha aggiornato OpenSSL alla versione 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 battiti cardiaci disattivati: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Questo lascia Android 4.1.1 vulnerabile! Un rapido sguardo sui miei registri di accesso rivela che ci sono ancora molti dispositivi in ​​esecuzione 4.1.1.

Alcune altre fonti indicano che 4.1.0 è anche vulnerabile .

Sembra il modo più semplice per risolverlo è aggiornare quella versione, se possibile. Se sei fortunato, il tuo operatore rilascerà una nuova versione, ma non ci contare. In caso contrario, potrebbe essere necessario esaminare ROM personalizzate, possibilmente un downgrade o il rooting e la sostituzione manuale della libreria.

Si consiglia vivamente di risolvere questo problema. Questo errore può comportare il furto di dati, inclusi nomi utente e password, dal browser da parte di un server dannoso.

Suggerimento breve: FORSE alcune app usano le proprie librerie openssl (o parti di esse). Che potrebbe aprire problemi su qualsiasi versione del sistema operativo.

E: Google è a conoscenza del problema . La loro dichiarazione ufficiale afferma che solo Android 4.1.1 era vulnerabile.

Tutte le versioni di Android sono immuni da CVE-2014-0160 (ad eccezione limitata di Android 4.1.1; le informazioni di patching per Android 4.1.1 vengono distribuite ai partner Android).