Bagaimana kerentanan keamanan Heartbleed mempengaruhi perangkat Android saya?

32

The " Heartbleed " kerentanan dalam versi tertentu OpenSSL adalah masalah keamanan serius yang memungkinkan server jahat atau klien untuk undetectably memperoleh data yang tidak sah dari ujung koneksi SSL / TLS.

Perangkat Android saya memiliki salinan OpenSSL yang diinstal pada /system/lib. Nomor versinya adalah 1.0.1c, yang membuatnya rentan terhadap serangan ini.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • Bagaimana ini memengaruhi saya? Apakah aplikasi Android menggunakan OpenSSL? Jika tidak, mengapa ada di sana?
  • Bisakah saya mengharapkan pembaruan firmware dari operator saya? Jika saya melakukan root pada ponsel saya, dapatkah saya memperbaruinya sendiri?
Michael Hampton
sumber
Saya pikir itu tidak rentan, asalkan tidak menawarkan layanan menggunakan openssl? Ini hanya akan memengaruhi Anda, jika Anda menjalankan server https atau openssh, misalnya. Sebenarnya saya ingin memposting ini sebagai komentar untuk dibahas, jangan salahkan saya jika saya salah ...
davidbaumann

Jawaban:

15

Sekarang ada serangan baru yang menargetkan jaringan nirkabel dan perangkat yang terhubung dengannya. Cukup menghubungkan ke jaringan nirkabel perusahaan (yang menggunakan EAP untuk keamanan) sudah cukup, jika Anda menjalankan versi Android yang rentan. Namun, tidak mungkin (jangan mengutip saya tentang ini!) Bahwa mereka akan dapat mengambil apa pun yang sangat sensitif dari perangkat Android Anda dengan metode ini. Mungkin kata sandi koneksi nirkabel Anda.


Anda dapat menggunakan alat deteksi ( info lebih lanjut ) untuk memeriksa apakah Anda memiliki sistem OpenSSL lib yang rentan pada perangkat Anda. Perhatikan bahwa, seperti disebutkan oleh lars.duesing , ada kemungkinan aplikasi tertentu secara statis terhubung dengan versi rentan yang berbeda dari pustaka sistem.


Menurut komentar ini pada Reddit , versi tertentu dari Android yang terkena bug ini. Lebih buruk lagi, beberapa browser, terutama yang ada di dalamnya dan Chrome, mungkin menggunakannya dan karenanya rentan.

Android 4.1.1_r1 meningkatkan OpenSSL ke versi 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 mematikan detak jantung: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Itu membuat Android 4.1.1 rentan! Grep cepat pada log akses saya mengungkapkan ada banyak perangkat yang masih berjalan 4.1.1.

Beberapa sumber lain menunjukkan bahwa 4.1.0 juga rentan .

Tampaknya cara termudah untuk memperbaikinya adalah dengan memutakhirkan versi itu, jika memungkinkan. Jika Anda beruntung, operator Anda akan merilis versi baru - tetapi saya tidak akan mengandalkannya. Jika tidak, Anda mungkin harus menyelidiki custom ROM, mungkin downgrade, atau rooting dan secara manual mengganti perpustakaan.

Sangat disarankan agar Anda menyelesaikan masalah ini. Bug ini dapat mengakibatkan pencurian data, termasuk nama pengguna dan kata sandi, dari browser Anda oleh server jahat.

Bob
sumber
1
Jadi jika saya mengerti ini dengan benar, hanya 4.1.1 yang rentan; versi yang lebih lama dan lebih baru bukan?
Michael Hampton
2
@MichaelHampton Seperti itulah rupanya, ya. Kecuali ROM khusus vendor telah memutuskan untuk mengirim perpustakaan yang berbeda.
Bob
7

Petunjuk singkat: MUNGKIN beberapa aplikasi menggunakan openssl-libs mereka sendiri (atau bagiannya). Itu MUNGKIN membuka masalah pada versi OS apa pun.

Dan: Google mengetahui masalahnya . Pernyataan resmi mereka mengatakan bahwa hanya Android 4.1.1 yang rentan.

Semua versi Android kebal terhadap CVE-2014-0160 (dengan pengecualian terbatas pada Android 4.1.1; menambal informasi untuk Android 4.1.1 sedang didistribusikan ke mitra Android).

lars.duesing
sumber
Menyenangkan mendengar tanggapan resmi dari Google. Tapi saya menerima jawaban lain karena menjelaskan mengapa 4.1.1 rentan dan 4.1.2 tidak rentan lagi.
Michael Hampton