Wie wirkt sich die Sicherheitslücke von Heartbleed auf mein Android-Gerät aus?

Die Sicherheitsanfälligkeit " Heartbleed " in bestimmten Versionen von OpenSSL ist ein schwerwiegendes Sicherheitsproblem, durch das böswillige Server oder Clients nicht nachweisbar nicht autorisierte Daten vom anderen Ende einer SSL / TLS-Verbindung abrufen können.

Auf meinem Android-Gerät ist eine Kopie von OpenSSL installiert /system/lib. Seine Versionsnummer ist 1.0.1c, was ihn anscheinend für diesen Angriff anfällig macht.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• Wie wirkt sich das auf mich aus? Verwenden Android-Apps OpenSSL? Wenn nicht, warum ist es dort?
• Kann ich von meinem Mobilfunkanbieter ein Firmware-Update erwarten? Kann ich mein Telefon selbst aktualisieren, wenn ich es als Root verwende?

Es gibt jetzt einen neuen Angriff , der auf drahtlose Netzwerke und damit verbundene Geräte abzielt. Wenn Sie eine anfällige Version von Android verwenden, reicht es aus, eine Verbindung zu einem drahtlosen Unternehmensnetzwerk (das EAP für die Sicherheit verwendet) herzustellen. Es ist jedoch unwahrscheinlich (zitieren Sie mich nicht!), Dass sie mit dieser Methode etwas von Ihrem Android-Gerät abrufen können, das besonders empfindlich ist. Möglicherweise Ihr Kennwort für die drahtlose Verbindung.

Sie können ein Erkennungstool ( weitere Informationen ) verwenden, um zu überprüfen, ob auf Ihrem Gerät ein anfälliges OpenSSL lib-System vorhanden ist. Beachten Sie, dass, wie in lars.duesing erwähnt , bestimmte Apps möglicherweise statisch mit verwundbaren Versionen verknüpft sind, die sich von der Systembibliothek unterscheiden.

Nach diesem Kommentar auf Reddit , bestimmte Versionen von Android sind von diesem Fehler betroffen. Schlimmer noch, einige Browser, insbesondere der eingebaute Browser und Chrome, verwenden ihn möglicherweise und sind daher anfällig.

Android 4.1.1_r1 hat OpenSSL auf Version 1.0.1 aktualisiert: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 hat die Herzschläge ausgeschaltet: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Damit bleibt Android 4.1.1 verwundbar! Ein kurzer Blick auf meine Zugriffsprotokolle zeigt, dass noch viele Geräte ausgeführt werden. 4.1.1.

Einige andere Quellen weisen darauf hin, dass auch 4.1.0 anfällig ist .

Dies lässt sich am einfachsten beheben, indem Sie nach Möglichkeit ein Upgrade von dieser Version durchführen. Wenn Sie Glück haben, wird Ihr Netzbetreiber eine neue Version veröffentlichen - aber ich würde nicht damit rechnen. Andernfalls müssen Sie möglicherweise benutzerdefinierte ROMs untersuchen, möglicherweise ein Downgrade durchführen oder die Bibliothek als Root ausführen und manuell ersetzen.

Es wird dringend empfohlen, dieses Problem zu beheben. Dieser Fehler kann zum Diebstahl von Daten, einschließlich Benutzernamen und Kennwörtern, von Ihrem Browser durch einen böswilligen Server führen.

Kurzer Hinweis: Möglicherweise verwenden einige Apps ihre eigenen openssl-libs (oder Teile davon). Das kann auf jeder OS-Version zu Problemen führen.

Und: Google ist sich des Problems bewusst . Die offizielle Erklärung besagt, dass nur Android 4.1.1 anfällig war.

Alle Android-Versionen sind immun gegen CVE-2014-0160 (mit Ausnahme von Android 4.1.1; Patch-Informationen für Android 4.1.1 werden an Android-Partner verteilt).