Heartbleedセキュリティ脆弱性はAndroidデバイスにどのように影響しますか？

OpenSSLの特定のバージョンにおける「Heartbleed」脆弱性は、悪意のあるサーバーまたはクライアントがSSL / TLS接続の反対側から不正に不正なデータを取得することを可能にする深刻なセキュリティ問題です。

私のAndroidデバイスには、OpenSSLのコピーがにインストールされてい/system/libます。バージョン番号は1.0.1cであり、この攻撃に対して脆弱になっているようです。

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• これは私にどのような影響を与えますか？AndroidアプリはOpenSSLを使用しますか？そうでない場合、なぜそこにあるのですか？
• キャリアからファームウェアの更新を期待できますか？電話をルート化する場合、自分で更新できますか？

現在、ワイヤレスネットワークとそれに接続されているデバイスを標的とする新しい攻撃があります。脆弱なバージョンのAndroidを実行している場合、企業のワイヤレスネットワーク（セキュリティにEAPを使用するネットワーク）に接続するだけで十分です。ただし、この方法を使用してAndroidデバイスから特に機密性の高いものを取得できる可能性は低くなります（これについては引用しないでください！）。たぶんあなたのワイヤレス接続パスワード。

あなたは使用することができ、検出ツール（より多くの情報をあなたのデバイス上の脆弱なシステムのOpenSSL libが持っているかどうかを確認します）。lars.duesingが 言及しているように、特定のアプリがシステムライブラリとは異なる脆弱なバージョンに対して静的にリンクされている可能性があることに注意してください。

よると、Redditの上のこのコメント、アンドロイドの特定のバージョンがされているこのバグの影響を受けて。さらに悪いことに、一部のブラウザ、特に組み込みのブラウザとChromeはそれを使用する可能性があるため、脆弱です。

Android 4.1.1_r1はOpenSSLをバージョン1.0.1にアップグレードしました：https ://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1はハートビートをオフにしました：https ://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

これにより、Android 4.1.1が脆弱になります！アクセスログを簡単に見ると、4.1.1を実行しているデバイスがまだたくさんあることがわかります。

他のいくつかのソースは、4.1.0も脆弱であることを示しています。

修正する最も簡単な方法は、可能であればそのバージョンからアップグレードすることです。運がよければ、あなたのキャリアは新しいバージョンをリリースします-しかし、私はそれに頼りません。そうでない場合は、カスタムROM（ダウングレードなど）を調査するか、ライブラリをルート化して手動で置き換える必要があります。

この問題を解決することを強くお勧めします。このバグにより、悪意のあるサーバーがブラウザからユーザー名やパスワードなどのデータを盗む可能性があります。

短いヒント：一部のアプリは、独自のopenssl-libs（またはその一部）を使用する場合があります。これにより、すべてのOSバージョンで問題が発生する場合があります。

そして：Googleは問題を認識しています。彼らの公式声明は、Android 4.1.1のみが脆弱であると述べています。

AndroidのすべてのバージョンはCVE-2014-0160の影響を受けません（Android 4.1.1の限定的な例外を除き、Android 4.1.1のパッチ情報はAndroidパートナーに配布されています）。