Heartbleed 보안 취약점은 내 Android 장치에 어떤 영향을 줍니까?

특정 버전의 OpenSSL에서 " Heartbleed "취약점은 악의적 인 서버 나 클라이언트가 SSL / TLS 연결의 다른 쪽 끝에서 무단 데이터를 탐지 할 수 없도록 하는 심각한 보안 문제입니다.

내 Android 기기에는에 OpenSSL 사본이 설치되어 /system/lib있습니다. 버전 번호는 1.0.1c이며이 공격에 취약한 것으로 보입니다.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• 이것이 나에게 어떤 영향을 미칩니 까? Android 앱은 OpenSSL을 사용합니까? 그렇지 않다면 왜 존재합니까?
• 네트워크 사업자의 펌웨어 업데이트를 기대할 수 있습니까? 전화를 뿌리면 직접 업데이트 할 수 있습니까?

지금이 새로운 공격 무선 네트워크와 그들에 연결된 장치를 대상으로합니다. 취약한 Android 버전을 실행하는 경우 회사 무선 네트워크 (보안을 위해 EAP를 사용하는 네트워크)에 연결하기 만하면됩니다. 그러나이 방법으로 Android 기기에서 특히 민감한 것을 검색 할 수는 없습니다 (이에 대해 인용하지 마십시오!). 무선 연결 암호 일 수 있습니다.

당신은 사용할 수있는 검색 도구 ( 더 많은 정보를 당신이 당신의 장치에 취약한 시스템에서 OpenSSL lib 디렉토리가 있는지 확인하는). 참고로, 그 lars.duesing이 언급 , 그것은 특정 응용 프로그램이 정적 시스템 라이브러리는 다른 취약한 버전에 연결되어있는 가능성이 있습니다.

에 따르면 레딧에이 댓글 안드로이드 특정 버전이 있습니다 이 버그에 의해 영향을 미쳤다. 더 나쁜 것은 여전히 ​​일부 브라우저, 특히 내장 브라우저 및 Chrome과 같은 일부 브라우저는이를 사용하기 때문에 취약하다는 것입니다.

Android 4.1.1_r1에서 OpenSSL을 버전 1.0.1로 업그레이드했습니다 : https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1이 하트 비트를 끈 경우 : https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Android 4.1.1은 취약합니다! 액세스 로그를 빠르게 살펴보면 여전히 많은 장치가 4.1.1을 실행하고 있음을 알 수 있습니다.

다른 자료에 따르면 4.1.0도 취약하다 .

가능한 가장 쉬운 방법은 해당 버전을 업그레이드하는 것입니다. 운이 좋으면 이동 통신사가 새 버전을 출시 할 것입니다. 그러나 나는 그것을 의지하지 않습니다. 그렇지 않은 경우 사용자 정의 ROM, 다운 그레이드 또는 라이브러리를 루팅하고 수동으로 교체해야 할 수 있습니다.

이 문제를 해결하는 것이 좋습니다. 이 버그로 인해 악의적 인 서버가 브라우저에서 사용자 이름 및 비밀번호를 포함한 데이터를 도난 당할 수 있습니다.

짧은 힌트 : 일부 앱은 자체 Opensl-lib (또는 그 일부)를 사용합니다. 모든 OS 버전에서 문제가 발생할 수 있습니다.

그리고 : 구글은 문제를 알고 있습니다 . 그들의 공식 성명서는 안드로이드 4.1.1만이 취약하다고 말합니다.

모든 Android 버전은 CVE-2014-0160에 영향을받지 않습니다 (Android 4.1.1을 제외하고 Android 4.1.1의 패치 정보는 Android 파트너에게 배포 됨).