Como a vulnerabilidade de segurança do Heartbleed afeta meu dispositivo Android?

A vulnerabilidade " Heartbleed " em versões específicas do OpenSSL é um grave problema de segurança que permite que servidores ou clientes mal-intencionados obtenham indetectável dados não autorizados da outra extremidade de uma conexão SSL / TLS.

Meu dispositivo Android tem uma cópia do OpenSSL instalada no /system/lib. O número da versão é 1.0.1c, o que parece torná-lo vulnerável a esse ataque.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• Como isso me afeta? Os aplicativos Android usam OpenSSL? Se não, por que está lá?
• Posso esperar uma atualização de firmware da minha operadora? Se eu torcer pelo telefone, posso atualizá-lo pessoalmente?

Agora, há um novo ataque que visa redes e dispositivos sem fio conectados a eles. Basta conectar-se a uma rede sem fio corporativa (aquela que usa o EAP para segurança), se você estiver executando uma versão vulnerável do Android. No entanto, é improvável (não me cite!) Que eles poderão recuperar qualquer coisa particularmente sensível do seu dispositivo Android com esse método. Talvez sua senha de conexão sem fio.

Você pode usar uma ferramenta de detecção ( mais informações ) para verificar se você possui um sistema OpenSSL lib vulnerável no seu dispositivo. Observe que, como menciona lars.duesing , é possível que aplicativos específicos estejam estaticamente vinculados a versões vulneráveis ​​diferentes da biblioteca do sistema.

De acordo com este comentário no Reddit , certas versões do Android são afetadas por esse bug. Pior ainda, alguns navegadores, especialmente o incorporado e o Chrome, possivelmente o usam e, portanto, são vulneráveis.

O Android 4.1.1_r1 atualizou o OpenSSL para a versão 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

O Android 4.1.2_r1 desativou os batimentos cardíacos: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Isso deixa o Android 4.1.1 vulnerável! Um grep rápido nos meus logs de acesso revela que muitos dispositivos ainda estão executando o 4.1.1.

Algumas outras fontes indicam que o 4.1.0 também é vulnerável .

Parece que a maneira mais fácil de corrigi-lo é atualizar essa versão, se possível. Se você tiver sorte, sua operadora lançará uma nova versão - mas eu não contaria com isso. Caso contrário, talvez seja necessário investigar ROMs personalizadas, possivelmente um downgrade ou fazer o root e substituir manualmente a biblioteca.

É altamente recomendável que você resolva esse problema. Esse bug pode resultar no roubo de dados, incluindo nomes de usuário e senhas, do seu navegador por um servidor malicioso.

Dica curta: Talvez alguns aplicativos usem seus próprios openssl-libs (ou partes dele). Isso pode abrir problemas em qualquer versão do sistema operacional.

E: o Google está ciente do problema . A declaração oficial diz que apenas o Android 4.1.1 estava vulnerável.

Todas as versões do Android são imunes ao CVE-2014-0160 (com a exceção limitada do Android 4.1.1; as informações de correção do Android 4.1.1 estão sendo distribuídas aos parceiros do Android).