¿Cómo afecta la vulnerabilidad de seguridad de Heartbleed a mi dispositivo Android?

La vulnerabilidad " Heartbleed " en versiones particulares de OpenSSL es un problema de seguridad grave que permite que servidores o clientes malintencionados obtengan de forma indetectable datos no autorizados del otro extremo de una conexión SSL / TLS.

Mi dispositivo Android tiene una copia de OpenSSL instalada /system/lib. Su número de versión es 1.0.1c, lo que parece hacerlo vulnerable a este ataque.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• ¿Como me afecta esto? ¿Las aplicaciones de Android usan OpenSSL? Si no, ¿por qué está ahí?
• ¿Puedo esperar una actualización de firmware de mi proveedor? Si rooteo mi teléfono, ¿puedo actualizarlo yo mismo?

Ahora hay un nuevo ataque que apunta a redes inalámbricas y dispositivos conectados a ellos. Simplemente conectándose a una red inalámbrica corporativa (una que usa EAP para seguridad) es suficiente si está ejecutando una versión vulnerable de Android. Sin embargo, es poco probable (¡no me cite sobre esto!) Que puedan recuperar algo particularmente sensible de su dispositivo Android con este método. Tal vez su contraseña de conexión inalámbrica.

Puede usar una herramienta de detección ( más información ) para verificar si tiene un sistema vulnerable OpenSSL lib en su dispositivo. Tenga en cuenta que, como menciona lars.duesing , es posible que aplicaciones específicas estén vinculadas estáticamente con versiones vulnerables diferentes de la biblioteca del sistema.

Según este comentario en Reddit , ciertas versiones de Android se ven afectadas por este error. Peor aún, algunos navegadores, especialmente el integrado y Chrome, posiblemente lo usan y, por lo tanto, son vulnerables.

Android 4.1.1_r1 actualizó OpenSSL a la versión 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 apagó los latidos del corazón: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

¡Eso deja a Android 4.1.1 vulnerable! Un vistazo rápido a mis registros de acceso revela que todavía hay muchos dispositivos que ejecutan 4.1.1.

Algunas otras fuentes indican que 4.1.0 también es vulnerable .

Parece que la forma más fácil de solucionarlo es actualizar esa versión, si es posible. Si tienes suerte, tu operador lanzará una nueva versión, pero no contaría con ella. De lo contrario, es posible que deba investigar ROM personalizadas, posiblemente una degradación, o enraizamiento y reemplazo manual de la biblioteca.

Se recomienda encarecidamente que resuelva este problema. Este error puede provocar el robo de datos, incluidos nombres de usuario y contraseñas, de su navegador por un servidor malicioso.

Sugerencia breve: QUIZÁS, algunas aplicaciones usan sus propios openssl-libs (o partes de los mismos). Eso PUEDE abrir problemas en cualquier versión del sistema operativo.

Y: Google es consciente del problema . Su declaración oficial dice que solo Android 4.1.1 era vulnerable.

Todas las versiones de Android son inmunes a CVE-2014-0160 (con la excepción limitada de Android 4.1.1; la información de parches para Android 4.1.1 se distribuye a los socios de Android).