A vulnerabilidade " Heartbleed " em versões específicas do OpenSSL é um grave problema de segurança que permite que servidores ou clientes mal-intencionados obtenham indetectável dados não autorizados da outra extremidade de uma conexão SSL / TLS.
Meu dispositivo Android tem uma cópia do OpenSSL instalada no /system/lib
. O número da versão é 1.0.1c, o que parece torná-lo vulnerável a esse ataque.
shell@vanquish:/ $ grep ^OpenSSL\ /system/lib/libssl.so
OpenSSL 1.0.1c 10 May 2012
- Como isso me afeta? Os aplicativos Android usam OpenSSL? Se não, por que está lá?
- Posso esperar uma atualização de firmware da minha operadora? Se eu torcer pelo telefone, posso atualizá-lo pessoalmente?
Respostas:
Agora, há um novo ataque que visa redes e dispositivos sem fio conectados a eles. Basta conectar-se a uma rede sem fio corporativa (aquela que usa o EAP para segurança), se você estiver executando uma versão vulnerável do Android. No entanto, é improvável (não me cite!) Que eles poderão recuperar qualquer coisa particularmente sensível do seu dispositivo Android com esse método. Talvez sua senha de conexão sem fio.
Você pode usar uma ferramenta de detecção ( mais informações ) para verificar se você possui um sistema OpenSSL lib vulnerável no seu dispositivo. Observe que, como menciona lars.duesing , é possível que aplicativos específicos estejam estaticamente vinculados a versões vulneráveis diferentes da biblioteca do sistema.
De acordo com este comentário no Reddit , certas versões do Android são afetadas por esse bug. Pior ainda, alguns navegadores, especialmente o incorporado e o Chrome, possivelmente o usam e, portanto, são vulneráveis.
Algumas outras fontes indicam que o 4.1.0 também é vulnerável .
Parece que a maneira mais fácil de corrigi-lo é atualizar essa versão, se possível. Se você tiver sorte, sua operadora lançará uma nova versão - mas eu não contaria com isso. Caso contrário, talvez seja necessário investigar ROMs personalizadas, possivelmente um downgrade ou fazer o root e substituir manualmente a biblioteca.
É altamente recomendável que você resolva esse problema. Esse bug pode resultar no roubo de dados, incluindo nomes de usuário e senhas, do seu navegador por um servidor malicioso.
fonte
Dica curta: Talvez alguns aplicativos usem seus próprios openssl-libs (ou partes dele). Isso pode abrir problemas em qualquer versão do sistema operacional.
E: o Google está ciente do problema . A declaração oficial diz que apenas o Android 4.1.1 estava vulnerável.
fonte