¿Cómo afecta la vulnerabilidad de seguridad de Heartbleed a mi dispositivo Android?

32

La vulnerabilidad " Heartbleed " en versiones particulares de OpenSSL es un problema de seguridad grave que permite que servidores o clientes malintencionados obtengan de forma indetectable datos no autorizados del otro extremo de una conexión SSL / TLS.

Mi dispositivo Android tiene una copia de OpenSSL instalada /system/lib. Su número de versión es 1.0.1c, lo que parece hacerlo vulnerable a este ataque.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • ¿Como me afecta esto? ¿Las aplicaciones de Android usan OpenSSL? Si no, ¿por qué está ahí?
  • ¿Puedo esperar una actualización de firmware de mi proveedor? Si rooteo mi teléfono, ¿puedo actualizarlo yo mismo?
Michael Hampton
fuente
Creo que no es vulnerable, siempre y cuando no esté ofreciendo un servicio usando openssl. Solo debería afectarlo, por ejemplo, si ejecuta un servidor https o openssh. En realidad quería publicar esto como comentario para hablar, no me culpes si estoy equivocado ...
davidbaumann

Respuestas:

15

Ahora hay un nuevo ataque que apunta a redes inalámbricas y dispositivos conectados a ellos. Simplemente conectándose a una red inalámbrica corporativa (una que usa EAP para seguridad) es suficiente si está ejecutando una versión vulnerable de Android. Sin embargo, es poco probable (¡no me cite sobre esto!) Que puedan recuperar algo particularmente sensible de su dispositivo Android con este método. Tal vez su contraseña de conexión inalámbrica.


Puede usar una herramienta de detección ( más información ) para verificar si tiene un sistema vulnerable OpenSSL lib en su dispositivo. Tenga en cuenta que, como menciona lars.duesing , es posible que aplicaciones específicas estén vinculadas estáticamente con versiones vulnerables diferentes de la biblioteca del sistema.


Según este comentario en Reddit , ciertas versiones de Android se ven afectadas por este error. Peor aún, algunos navegadores, especialmente el integrado y Chrome, posiblemente lo usan y, por lo tanto, son vulnerables.

Android 4.1.1_r1 actualizó OpenSSL a la versión 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 apagó los latidos del corazón: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

¡Eso deja a Android 4.1.1 vulnerable! Un vistazo rápido a mis registros de acceso revela que todavía hay muchos dispositivos que ejecutan 4.1.1.

Algunas otras fuentes indican que 4.1.0 también es vulnerable .

Parece que la forma más fácil de solucionarlo es actualizar esa versión, si es posible. Si tienes suerte, tu operador lanzará una nueva versión, pero no contaría con ella. De lo contrario, es posible que deba investigar ROM personalizadas, posiblemente una degradación, o enraizamiento y reemplazo manual de la biblioteca.

Se recomienda encarecidamente que resuelva este problema. Este error puede provocar el robo de datos, incluidos nombres de usuario y contraseñas, de su navegador por un servidor malicioso.

Mover
fuente
1
Entonces, si entiendo esto correctamente, solo 4.1.1 era vulnerable; versiones anteriores y nuevas no lo son?
Michael Hampton
2
@MichaelHampton Eso es lo que parece, sí. A menos que una ROM específica del proveedor haya decidido enviar una biblioteca diferente.
Bob
7

Sugerencia breve: QUIZÁS, algunas aplicaciones usan sus propios openssl-libs (o partes de los mismos). Eso PUEDE abrir problemas en cualquier versión del sistema operativo.

Y: Google es consciente del problema . Su declaración oficial dice que solo Android 4.1.1 era vulnerable.

Todas las versiones de Android son inmunes a CVE-2014-0160 (con la excepción limitada de Android 4.1.1; la información de parches para Android 4.1.1 se distribuye a los socios de Android).

lars.duesing
fuente
Es bueno escuchar la respuesta oficial de Google. Pero acepté la otra respuesta porque explica por qué 4.1.1 es vulnerable y 4.1.2 ya no es vulnerable.
Michael Hampton