32 votos

Michael Hampton avatar

¿Cómo afecta la vulnerabilidad de seguridad Heartbleed a mi dispositivo Android?

Preguntado el 8 de Abril, 2014
Cuando se hizo la pregunta
2841 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

El " Heartbleed "La vulnerabilidad en determinadas versiones de OpenSSL es un grave problema de seguridad que permite a servidores o clientes malintencionados obtener de forma indetectable datos no autorizados desde el otro extremo de una conexión SSL/TLS.

Mi dispositivo Android tiene una copia de OpenSSL instalada en /system/lib . Su número de versión es 1.0.1c, lo que parece hacerla vulnerable a este ataque.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • ¿Cómo me afecta esto? ¿Las aplicaciones de Android utilizan OpenSSL? Si no es así, ¿por qué está ahí?
  • ¿Puedo esperar una actualización del firmware de mi operador? Si rooteo mi teléfono, ¿puedo actualizarlo yo mismo?
Preguntado el 8 de Abril, 2014 por Michael Hampton

0 votos

Avatar de Alan Geleynse

Creo que no es vulnerable, siempre y cuando no esté ofreciendo un servicio usando openssl? Sólo debería afectarle, si ejecuta un servidor https o openssh, por ejemplo. En realidad quería publicar esto como comentario para discutirlo, no me culpen si me equivoco...

Comentado el 8 de Abril, 2014 por Alan Geleynse

2 votos

Avatar de Bob

Clientes, como los navegadores web, son afectados.

Comentado el 8 de Abril, 2014 por Bob

Respuestas

¿Demasiados anuncios?

15voto

Bob avatar
Bob Puntos 258

Ahora hay un nuevo ataque que se dirige a las redes inalámbricas y a los dispositivos conectados a ellas. Basta con conectarse a una red inalámbrica corporativa (que utilice EAP para la seguridad), si se ejecuta una versión vulnerable de Android. Sin embargo, es poco probable (¡no me cites a mí!) que puedan recuperar algo particularmente sensible de tu dispositivo Android con este método. Tal vez la contraseña de tu conexión inalámbrica.

Puede utilizar un herramienta de detección ( más información ) para comprobar si tiene una librería OpenSSL vulnerable en su dispositivo. Tenga en cuenta que, como lars.duesing menciona Es posible que determinadas aplicaciones estén enlazadas estáticamente con versiones vulnerables diferentes de la biblioteca del sistema.

Según este comentario en Reddit , ciertas versiones de Android son afectados por este fallo. Peor aún, algunos navegadores, especialmente el incorporado y Chrome, posiblemente lo utilizan y por lo tanto son vulnerables.

Android 4.1.1_r1 actualiza OpenSSL a la versión 1.0.1: https://Android.googlesource.com/platform/external/openssl.git/+/Android-4.1.1_r1

Android 4.1.2_r1 desactivó los latidos del corazón: https://Android.googlesource.com/platform/external/openssl.git/+/Android-4.1.2_r1

Eso deja a Android 4.1.1 vulnerable. Una búsqueda rápida en mis registros de acceso revela que hay un montón de dispositivos que aún ejecutan la versión 4.1.1.

Otras fuentes indican que 4.1.0 también es vulnerable .

Parece que la forma más fácil de solucionarlo es actualizar fuera de esa versión, si es posible. Si tienes suerte, tu operador lanzará una nueva versión - pero yo no contaría con ello. Si no, puede que tengas que investigar ROMs personalizadas, posiblemente un downgrade, o rootear y reemplazar manualmente la librería.

Se recomienda encarecidamente que se resuelva este problema. Este fallo puede provocar el robo de datos, incluidos los nombres de usuario y las contraseñas, de su navegador por parte de un servidor malicioso.

Respondido el 8 de Abril, 2014 por Bob (258 Puntos )

1 votos

Avatar de Michael Hampton

Así que si entiendo esto correctamente, sólo 4.1.1 era vulnerable; ¿las versiones anteriores y posteriores no lo son?

Comentado el 8 de Abril, 2014 por Michael Hampton

2 votos

Avatar de Bob

@MichaelHampton Eso es lo que parece, sí. A menos que una ROM específica del proveedor haya decidido enviar una biblioteca diferente.

Comentado el 8 de Abril, 2014 por Bob

7voto

lars.duesing avatar
lars.duesing Puntos 71

Pista corta: Quizá algunas aplicaciones usen sus propias librerías openssl (o partes de ellas). Eso PUEDE dar problemas en cualquier versión del sistema operativo.

Y: Google es consciente del problema . Su declaración oficial dice que sólo Android 4.1.1 era vulnerable.

Todas las versiones de Android son inmunes a la CVE-2014-0160 (con la limitada excepción de Android 4.1.1; se está distribuyendo a los socios de Android la información de Parcheando para Android 4.1.1).

Respondido el 10 de Abril, 2014 por lars.duesing (71 Puntos )

0 votos

Avatar de Michael Hampton

Es bueno escuchar la respuesta oficial de Google. Pero he aceptado la otra respuesta porque explica por qué 4.1.1 es vulnerable y 4.1.2 ya no lo es.

Comentado el 10 de Abril, 2014 por Michael Hampton

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X