Heartbleed安全漏洞如何影响我的Android设备？

在特定版本的OpenSSL中，“ Heartbleed ”漏洞是一个严重的安全问题，它使恶意服务器或客户端无法检测到地从SSL / TLS连接的另一端获取未经授权的数据。

我的Android设备在中安装了OpenSSL副本/system/lib。它的版本号是1.0.1c，这似乎使其很容易受到此攻击。

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• 这对我有什么影响？Android应用程序是否使用OpenSSL？如果没有，为什么会出现在这里？
• 我可以期待运营商提供固件更新吗？如果我拔起手机，可以自己更新吗？

现在有一种针对无线网络和连接到它们的设备的新攻击。如果您运行的是易受攻击的Android版本，则只需连接到公司无线网络（使用EAP来确保安全性的无线网络）就足够了。但是，使用这种方法不太可能（不要在此引用我！），他们将无法从您的Android设备检索任何特别敏感的信息。也许是您的无线连接密码。

您可以使用检测工具（更多信息）来检查设备上是否有易受攻击的系统OpenSSL lib。请注意，正如lars.duesing所 提到的，特定应用有可能与不同于系统库的易受攻击版本静态链接。

根据Reddit上此评论，某些Android版本都受到此问题的影响。更糟糕的是，某些浏览器（尤其是内置浏览器和Chrome）可能会使用它，因此容易受到攻击。

Android 4.1.1_r1已将OpenSSL升级到版本1.0.1：https ://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1关闭了心跳：https ://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

这使Android 4.1.1容易受到攻击！在访问日志中快速浏览一下grep，发现仍有许多设备仍在运行4.1.1。

其他一些资料表明4.1.0也是易受攻击的。

似乎最简单的解决方法是升级该版本（如果可能）。如果幸运的话，您的运营商将发布新版本-但我不会指望它。如果没有，您可能必须研究自定义ROM（可能降级）或生根并手动替换该库。

强烈建议您解决此问题。此错误可能导致恶意服务器从您的浏览器盗窃数据，包括用户名和密码。

简短提示：也许某些应用程序使用其自己的openssl-libs（或其部分）。这可能会在任何OS版本上打开问题。

并且：Google意识到了这个问题。他们的官方声明说，只有Android 4.1.1容易受到攻击。

所有版本的Android都不受CVE-2014-0160的影响（Android 4.1.1的例外情况除外； Android 4.1.1的补丁程序信息已分发给Android合作伙伴）。