在特定版本的OpenSSL中,“ Heartbleed”漏洞是一个严重的安全问题,它使恶意服务器或客户端无法检测到地从SSL / TLS连接的另一端获取未经授权的数据。

我的Android设备具有安装在/system/lib中的OpenSSL副本。它的版本号为1.0.1c,似乎使其容易受到此攻击。

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012



这对我有什么影响? Android应用程序是否使用OpenSSL?如果没有,为什么会出现?
我可以从运营商那里获取固件更新吗?如果我拔起手机,可以自己更新吗?


评论

我认为它不容易受到攻击,只要它不使用openssl提供服务?例如,如果您运行https服务器或openssh,它只会影响您。其实我想发表此评论作为讨论,如果我错了也不要怪我...

客户端(例如Web浏览器)受到影响。

#1 楼

现在有一种针对无线网络和连接到它们的设备的新攻击。如果您运行的是易受攻击的Android版本,则只需连接到公司无线网络(使用EAP进行安全保护的无线网络)就足够了。但是,使用这种方法不太可能(不要在此引用我!),他们将无法从您的Android设备检索任何特别敏感的信息。也许是您的无线连接密码。

您可以使用检测工具(更多信息)来检查设备上是否有易受攻击的系统OpenSSL lib。请注意,正如lars.duesing所提到的,特定应用程序可能与不同于系统库的易受攻击的版本静态链接。

根据对Reddit的评论,某些Android版本受此错误影响。更糟糕的是,某些浏览器(尤其是内置浏览器和Chrome)可能会使用它,因此容易受到攻击。

Android 4.1.1_r1将OpenSSL升级到了版本1.0.1:https://android.googlesource .com / platform / external / openssl.git / + / android-4.1.1_r1
Android 4.1.2_r1关闭了心跳:https://android.googlesource.com/platform/external/openssl.git/+/ android-4.1.2_r1
使Android 4.1.1容易受到攻击!快速查看我的访问日志,发现仍有许多设备仍在运行4.1.1。

其他一些消息表明4.1.0也是易受攻击的。
这似乎是最简单的方法修复它是升级该版本,如果可能的话。如果幸运的话,您的运营商会发布一个新版本-但我不会指望它。如果不是,则可能必须研究自定义ROM(可能降级)或生根并手动替换该库。
强烈建议您解决此问题。此错误可能导致恶意服务器从您的浏览器盗窃数据,包括用户名和密码。

评论


因此,如果我正确理解这一点,那么只有4.1.1容易受到攻击。是不是旧版本和新版本?

–迈克尔·汉普顿
2014年4月8日在17:48

@MichaelHampton就是这样,是的。除非特定于供应商的ROM决定提供其他库。

–鲍勃
2014年4月8日17:49



#2 楼

简短提示:也许某些应用程序使用其自己的openssl-libs(或其部分)。这可能会在任何OS版本上打开问题。

并且:Google意识到了这个问题。他们的官方声明说,只有Android 4.1.1容易受到攻击。


所有版本的Android均不受CVE-2014-0160的影响(Android 4.1.1的例外情况除外;修补信息适用于Android 4.1.1的版本已分发给Android合作伙伴)。


评论


很高兴听到Google的官方回应。但是我接受了另一个答案,因为它解释了为什么4.1.1易受攻击而4.1.2不再易受攻击。

–迈克尔·汉普顿
2014年4月10日下午13:13