Como a vulnerabilidade de segurança do Heartbleed afeta meu dispositivo Android?

32

A vulnerabilidade " Heartbleed " em versões específicas do OpenSSL é um grave problema de segurança que permite que servidores ou clientes mal-intencionados obtenham indetectável dados não autorizados da outra extremidade de uma conexão SSL / TLS.

Meu dispositivo Android tem uma cópia do OpenSSL instalada no /system/lib. O número da versão é 1.0.1c, o que parece torná-lo vulnerável a esse ataque.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • Como isso me afeta? Os aplicativos Android usam OpenSSL? Se não, por que está lá?
  • Posso esperar uma atualização de firmware da minha operadora? Se eu torcer pelo telefone, posso atualizá-lo pessoalmente?
Michael Hampton
fonte
Eu acho que não é vulnerável, desde que não ofereça um serviço usando o openssl? Isso só deve afetá-lo, se você executar um servidor https ou openssh, por exemplo. Na verdade, eu queria postar isso como comentário para discutir, não me culpe se eu estiver errado ...
davidbaumann

Respostas:

15

Agora, há um novo ataque que visa redes e dispositivos sem fio conectados a eles. Basta conectar-se a uma rede sem fio corporativa (aquela que usa o EAP para segurança), se você estiver executando uma versão vulnerável do Android. No entanto, é improvável (não me cite!) Que eles poderão recuperar qualquer coisa particularmente sensível do seu dispositivo Android com esse método. Talvez sua senha de conexão sem fio.


Você pode usar uma ferramenta de detecção ( mais informações ) para verificar se você possui um sistema OpenSSL lib vulnerável no seu dispositivo. Observe que, como menciona lars.duesing , é possível que aplicativos específicos estejam estaticamente vinculados a versões vulneráveis ​​diferentes da biblioteca do sistema.


De acordo com este comentário no Reddit , certas versões do Android são afetadas por esse bug. Pior ainda, alguns navegadores, especialmente o incorporado e o Chrome, possivelmente o usam e, portanto, são vulneráveis.

O Android 4.1.1_r1 atualizou o OpenSSL para a versão 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

O Android 4.1.2_r1 desativou os batimentos cardíacos: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Isso deixa o Android 4.1.1 vulnerável! Um grep rápido nos meus logs de acesso revela que muitos dispositivos ainda estão executando o 4.1.1.

Algumas outras fontes indicam que o 4.1.0 também é vulnerável .

Parece que a maneira mais fácil de corrigi-lo é atualizar essa versão, se possível. Se você tiver sorte, sua operadora lançará uma nova versão - mas eu não contaria com isso. Caso contrário, talvez seja necessário investigar ROMs personalizadas, possivelmente um downgrade ou fazer o root e substituir manualmente a biblioteca.

É altamente recomendável que você resolva esse problema. Esse bug pode resultar no roubo de dados, incluindo nomes de usuário e senhas, do seu navegador por um servidor malicioso.

Prumo
fonte
1
Portanto, se eu entendi direito, apenas o 4.1.1 estava vulnerável; versões mais antigas e mais recentes não são?
Michael Hampton
2
@MichaelHampton É assim que parece, sim. A menos que uma ROM específica do fornecedor tenha decidido enviar uma biblioteca diferente.
Bob
7

Dica curta: Talvez alguns aplicativos usem seus próprios openssl-libs (ou partes dele). Isso pode abrir problemas em qualquer versão do sistema operacional.

E: o Google está ciente do problema . A declaração oficial diz que apenas o Android 4.1.1 estava vulnerável.

Todas as versões do Android são imunes ao CVE-2014-0160 (com a exceção limitada do Android 4.1.1; as informações de correção do Android 4.1.1 estão sendo distribuídas aos parceiros do Android).

lars.duesing
fonte
É bom ouvir a resposta oficial do Google. Mas aceitei a outra resposta porque explica por que o 4.1.1 é vulnerável e o 4.1.2 não é mais vulnerável.
Michael Hampton