ช่องโหว่ความปลอดภัย Heartbleed ส่งผลต่ออุปกรณ์ Android ของฉันอย่างไร

"การHeartbleed " ช่องโหว่ในรุ่นโดยเฉพาะอย่างยิ่งของ OpenSSL เป็นปัญหาด้านความปลอดภัยร้ายแรงซึ่งจะช่วยให้เซิร์ฟเวอร์ที่เป็นอันตรายหรือลูกค้าที่จะ undetectably ได้รับข้อมูลไม่ได้รับอนุญาตจากส่วนอื่น ๆ ของการเชื่อมต่อ SSL / TLS

อุปกรณ์ Android ของฉันมีสำเนาของ OpenSSL /system/libติดตั้งใน หมายเลขเวอร์ชั่นคือ 1.0.1c ซึ่งดูเหมือนจะทำให้เสี่ยงต่อการถูกโจมตีนี้

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• สิ่งนี้มีผลกับฉันอย่างไร แอพ Android ใช้ OpenSSL หรือไม่ ถ้าไม่ทำไมมันอยู่ที่นั่น?
• ฉันสามารถคาดหวังการอัพเดตเฟิร์มแวร์จากผู้ให้บริการของฉันได้หรือไม่? หากฉันรูทโทรศัพท์ฉันจะอัพเดตเองได้ไหม

ขณะนี้มีการโจมตีใหม่ที่กำหนดเป้าหมายเครือข่ายไร้สายและอุปกรณ์ที่เชื่อมต่อกับพวกเขา เพียงเชื่อมต่อกับเครือข่ายไร้สายขององค์กร (เครือข่ายที่ใช้ EAP เพื่อความปลอดภัย) ก็เพียงพอแล้วหากคุณใช้ Android เวอร์ชันที่มีช่องโหว่ อย่างไรก็ตามไม่น่าเป็นไปได้ (อย่าพูดถึงฉันในสิ่งนี้!) ว่าพวกเขาจะสามารถดึงสิ่งที่มีความสำคัญเป็นพิเศษจากอุปกรณ์ Android ของคุณด้วยวิธีนี้ บางทีรหัสผ่านการเชื่อมต่อไร้สายของคุณ

คุณสามารถใช้เครื่องมือตรวจจับ ( ข้อมูลเพิ่มเติม ) เพื่อตรวจสอบว่าคุณมีระบบที่มีช่องโหว่ OpenSSL lib บนอุปกรณ์ของคุณหรือไม่ โปรดทราบว่าเนื่องจากlars.duesing กล่าวถึงเป็นไปได้ว่าแอพบางตัวนั้นเชื่อมโยงกับเวอร์ชั่นที่มีช่องโหว่แตกต่างจากไลบรารีระบบ

ตามความคิดเห็นนี้เมื่อ Reddit , บางรุ่นของ Android จะรับผลกระทบจากปัญหานี้ เบราว์เซอร์บางตัวโดยเฉพาะเบราว์เซอร์ในตัวและ Chrome อาจใช้งานได้และมีความเสี่ยง

Android 4.1.1_r1 อัปเกรด OpenSSL เป็นเวอร์ชั่น 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 ปิดการเต้นของหัวใจ: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

นั่นทำให้ Android 4.1.1 มีความเสี่ยง! grep อย่างรวดเร็วในบันทึกการเข้าถึงของฉันพบว่ามีอุปกรณ์จำนวนมากที่ยังคงใช้งาน 4.1.1 อยู่

แหล่งข้อมูลบางแหล่งระบุว่า4.1.0 นั้นมีความเสี่ยงเช่นกัน

ดูเหมือนว่าวิธีที่ง่ายที่สุดในการแก้ไขคืออัปเกรดเป็นเวอร์ชันนั้นหากเป็นไปได้ หากคุณโชคดีผู้ให้บริการของคุณจะเปิดตัวเวอร์ชันใหม่ - แต่ฉันจะไม่นับมัน หากไม่มีคุณอาจต้องตรวจสอบ ROM ที่กำหนดเองอาจจะเป็นการลดระดับหรือการรูทและแทนที่ไลบรารีด้วยตนเอง

ขอแนะนำอย่างยิ่งให้คุณแก้ไขปัญหานี้ ข้อผิดพลาดนี้อาจส่งผลให้เกิดการโจรกรรมข้อมูลรวมถึงชื่อผู้ใช้และรหัสผ่านจากเซิร์ฟเวอร์ของคุณโดยเบราว์เซอร์ของคุณ

คำใบ้สั้น ๆ : อาจแอพบางตัวใช้ openssl-libs ของตนเอง (หรือบางส่วนของมัน) นั่นอาจเปิดปัญหากับระบบปฏิบัติการรุ่นใด ๆ

และ: Google เป็นตระหนักถึงปัญหา แถลงการณ์อย่างเป็นทางการของพวกเขากล่าวว่ามีเพียง Android 4.1.1 เท่านั้นที่มีช่องโหว่

Android ทุกรุ่นมีภูมิต้านทานต่อ CVE-2014-0160 (ยกเว้นข้อ จำกัด ของ Android 4.1.1; ข้อมูลการปะแก้สำหรับ Android 4.1.1 กำลังถูกแจกจ่ายไปยังพันธมิตร Android)