Heartbleed güvenlik açığı Android cihazımı nasıl etkiler?

OpenSSL’nin belirli sürümlerindeki " Heartbleed " güvenlik açığı, kötü amaçlı sunucuların veya istemcilerin SSL / TLS bağlantısının diğer ucundan yetkisiz olarak yetkisiz veri elde etmesini sağlayan ciddi bir güvenlik sorunudur.

Android cihazımda yüklü bir OpenSSL kopyası var /system/lib. Sürüm numarası 1.0.1c'dir ve bu saldırıyı savunmasız bırakmaktadır.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• Bu beni nasıl etkiler? Android uygulamaları OpenSSL kullanıyor mu? Değilse neden orada?
• Operatörümden bir ürün yazılımı güncellemesi bekleyebilir miyim? Telefonumu köklendirirsem, kendim güncelleyebilir miyim?

Artık kablosuz ağları ve bunlara bağlı cihazları hedef alan yeni bir saldırı var. Eğer savunmasız bir Android sürümü kullanıyorsanız, kurumsal bir kablosuz ağa bağlanmak (güvenlik için EAP kullanan) yeterlidir. Ancak, bu yöntemle özellikle Android cihazınızdan hassas olan herhangi bir şeyi alabilmeleri muhtemel değildir (bu konuda bana alıntı yapmayın!). Belki kablosuz bağlantı şifrenizdir.

Cihazınızda savunmasız bir OpenSSL lib sistemi olup olmadığını kontrol etmek için bir algılama aracı ( daha fazla bilgi ) kullanabilirsiniz. Not olarak, bu lars.duesing bahseder , belirli uygulamalar statik olarak sistem kütüphanesinden farklı savunmasız sürümleri karşı bağlantılıdır olması mümkündür.

Göre Reddit'e Bu yorumun , Android'in belirli sürümleri olan bu hatayı tarafından etkilenen. Daha da kötüsü, bazı tarayıcılar, özellikle de yerleşik olan ve Chrome, muhtemelen onu kullanıyor ve bu nedenle savunmasız.

Android 4.1.1_r1 OpenSSL'i 1.0.1 sürümüne yükseltti: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 kalp atışlarını kapattı: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Bu Android 4.1.1'i savunmasız bırakıyor! Erişim kayıtlarımdaki hızlı bir grep, hala 4.1.1 çalışan birçok cihaz olduğunu ortaya koyuyor.

Diğer bazı kaynaklar 4.1.0'ın da savunmasız olduğunu göstermektedir .

Bunu düzeltmenin en kolay yolu, eğer mümkünse o sürümden yükseltme yapmak gibi görünüyor. Şanslıysanız, operatörünüz yeni bir sürüm yayınlayacak - ama buna güvenmezdim. Aksi takdirde, özel ROM'ları, muhtemelen düşürmeyi veya kitaplığın kökünü kesip elle değiştirmek zorunda kalabilirsiniz.

Bu sorunu çözmeniz önemle tavsiye edilir. Bu hata tarayıcınızdan kötü amaçlı bir sunucu tarafından kullanıcı adları ve şifreler dahil verilerin çalınmasına neden olabilir.

Kısa ipucu: MAYBE bazı uygulamalar kendi openssl-lib'lerini (veya bunların parçalarını) kullanır. Herhangi bir işletim sistemi sürümünde problem açabilir.

Ve: Google sorunun farkında . Resmi açıklamaları, yalnızca Android 4.1.1'in savunmasız olduğunu söylüyor.

Android'in tüm sürümleri CVE-2014-0160'a karşı bağışıktır (Android 4.1.1'in haricinde; Android 4.1.1 için yama bilgileri Android ortaklarına dağıtılır).