मेरे एंड्रॉइड डिवाइस पर हार्दिक सुरक्षा भेद्यता कैसे प्रभावित करती है?

OpenSSL के विशेष संस्करणों में " हार्दिक " भेद्यता एक गंभीर सुरक्षा मुद्दा है जो दुर्भावनापूर्ण सर्वर या क्लाइंट को SSL / TLS कनेक्शन के दूसरे छोर से अनधिकृत डेटा प्राप्त करने की अनुमति देता है।

मेरे Android डिवाइस में OpenSSL की एक प्रति स्थापित है /system/lib। इसका संस्करण संख्या 1.0.1c है, जो इस हमले के प्रति संवेदनशील बनाता है।

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• यह मुझे कैसे प्रभावित करता है? क्या Android ऐप्स OpenSSL का उपयोग करते हैं? यदि नहीं, तो ऐसा क्यों है?
• क्या मैं अपने कैरियर से फर्मवेयर अपडेट की उम्मीद कर सकता हूं? अगर मैं अपना फोन रूट करता हूं, तो क्या मैं इसे खुद अपडेट कर सकता हूं?

अब एक नया हमला हुआ है जो वायरलेस नेटवर्क और उनसे जुड़े उपकरणों को लक्षित करता है। बस एक कॉर्पोरेट वायरलेस नेटवर्क (सुरक्षा के लिए ईएपी का उपयोग करने वाला) से कनेक्ट करना पर्याप्त है, अगर आप एंड्रॉइड का एक कमजोर संस्करण चला रहे हैं। हालांकि, यह संभावना नहीं है (इस पर मुझे उद्धृत न करें!) कि वे इस पद्धति से आपके एंड्रॉइड डिवाइस से विशेष रूप से संवेदनशील कुछ भी प्राप्त करने में सक्षम होंगे। हो सकता है कि आपका वायरलेस कनेक्शन पासवर्ड।

यदि आप अपने डिवाइस पर एक असुरक्षित सिस्टम ओपनएसएसएल काम करते हैं, तो यह जांचने के लिए आप एक डिटेक्शन टूल ( अधिक जानकारी ) का उपयोग कर सकते हैं । ध्यान दें कि, लार्सड्यूसिंग उल्लेखों के रूप में , यह संभव है कि विशिष्ट एप्लिकेशन सिस्टम लाइब्रेरी से अलग असुरक्षित संस्करणों के खिलाफ सांख्यिकीय रूप से जुड़े हों।

Reddit की इस टिप्पणी के अनुसार , Android के कुछ संस्करण इस बग से प्रभावित हैं । इससे भी बदतर, कुछ ब्राउज़र, विशेष रूप से अंतर्निहित एक और क्रोम, संभवतः इसका उपयोग करते हैं और इसलिए असुरक्षित हैं।

Android 4.1.1_r1 ने ओपनएसएसएल को संस्करण 1.0.1 में उन्नत किया: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 दिल की धड़कनों को बंद कर देता है: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

यह एंड्रॉयड 4.1.1 असुरक्षित छोड़ देता है! मेरी पहुंच लॉग पर एक त्वरित grep से पता चलता है कि अभी भी 4.1.1 चल रहे बहुत सारे उपकरण हैं।

कुछ अन्य स्रोतों से संकेत मिलता है कि 4.1.0 भी असुरक्षित है ।

यदि संभव हो तो इसे ठीक करना सबसे आसान तरीका लगता है। यदि आप भाग्यशाली हैं, तो आपका वाहक एक नया संस्करण जारी करेगा - लेकिन मैं इस पर भरोसा नहीं करूंगा। यदि नहीं, तो आपको लाइब्रेरी को बदलने के लिए कस्टम रोम, संभवतः एक डाउनग्रेड, या रूटिंग और मैन्युअल रूप से प्रतिस्थापित करना पड़ सकता है।

यह अत्यधिक अनुशंसित है कि आप इस समस्या को हल करें। इस बग के परिणामस्वरूप दुर्भावनापूर्ण सर्वर द्वारा आपके ब्राउज़र से उपयोगकर्ता नाम और पासवर्ड सहित डेटा की चोरी हो सकती है।

लघु संकेत: कुछ एप्लिकेशन अपने स्वयं के ओपनस्ले-लिबास (या उसके भाग) का उपयोग करते हैं। यह MAY किसी भी OS-वर्जन पर खुली समस्या है।

और: Google समस्या से अवगत है । उनका आधिकारिक बयान कहता है कि केवल एंड्रॉइड 4.1.1 असुरक्षित था।

Android के सभी संस्करण CVE-2014-0160 के लिए प्रतिरक्षा हैं (Android 4.1.1 के सीमित अपवाद के साथ, Android 4.1.1 के लिए पैचिंग जानकारी Android भागीदारों को वितरित की जा रही है)।