হার্টবেল্ড সুরক্ষা দুর্বলতা কীভাবে আমার অ্যান্ড্রয়েড ডিভাইসে প্রভাব ফেলবে?


32

ওপেনএসএসএল-এর নির্দিষ্ট সংস্করণগুলিতে " হার্টবেল্ড " দুর্বলতা একটি গুরুতর সুরক্ষা সমস্যা যা দূষিত সার্ভার বা ক্লায়েন্টকে নির্বিচারে একটি এসএসএল / টিএলএস সংযোগের অন্য প্রান্ত থেকে অননুমোদিত ডেটা পেতে সক্ষম করে।

আমার অ্যান্ড্রয়েড ডিভাইসে ওপেনএসএসএল-এর একটি অনুলিপি ইনস্টল করা আছে /system/lib। এর সংস্করণ নম্বরটি 1.0.1c, যা এটিকে আক্রমণ থেকে দূর্বল করে তোলে।

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • এটি কীভাবে আমাকে প্রভাবিত করে? অ্যান্ড্রয়েড অ্যাপ্লিকেশনগুলি কি ওপেনএসএসএল ব্যবহার করে? তা না হলে ওখানে কেন?
  • আমি কি আমার ক্যারিয়ার থেকে ফার্মওয়্যার আপডেটের আশা করতে পারি? আমি যদি আমার ফোনটি রুট করি তবে আমি কী নিজে এটি আপডেট করতে পারি?

আমি মনে করি এটি দুর্বল নয়, যতক্ষণ না এটি ওপেনসেল ব্যবহার করে কোনও পরিষেবা সরবরাহ করে না? উদাহরণস্বরূপ, আপনি যদি কোনও https সার্ভার বা ওপেনস্প চালনা করেন তবে এটি কেবল আপনাকে প্রভাবিত করবে। আসলে আমি এটিকে আলোচনার জন্য মন্তব্য হিসাবে পোস্ট করতে চেয়েছিলাম, আমি ভুল হলে আমাকে দোষ দেবেন না ...
ডেভিডবাউমন

উত্তর:


15

এখন একটি নতুন আক্রমণ হয়েছে যা তারবিহীন নেটওয়ার্ক এবং তাদের সাথে সংযুক্ত ডিভাইসগুলিকে লক্ষ্য করে। আপনি যদি অ্যান্ড্রয়েডের একটি দুর্বল সংস্করণটি চালাচ্ছেন তবে কেবলমাত্র একটি কর্পোরেট ওয়্যারলেস নেটওয়ার্কে (সুরক্ষার জন্য EAP ব্যবহার করে এমন একটি) কেবলমাত্র সংযোগই যথেষ্ট। তবে, এটি অসম্ভাব্য (এই সম্পর্কে আমাকে উদ্ধৃতি দেবেন না!) তারা এই পদ্ধতিটি দিয়ে আপনার অ্যান্ড্রয়েড ডিভাইস থেকে বিশেষত সংবেদনশীল যে কোনও কিছু উদ্ধার করতে সক্ষম হবেন। হতে পারে আপনার ওয়্যারলেস সংযোগের পাসওয়ার্ড।


আপনার ডিভাইসে আপনার কোনও ঝুঁকিপূর্ণ সিস্টেম ওপেনএসএসএল লাইব রয়েছে কিনা তা পরীক্ষা করতে আপনি সনাক্তকরণ সরঞ্জাম ( আরও তথ্য ) ব্যবহার করতে পারেন । মনে রাখবেন যে, lars.dueing উল্লেখ হিসাবে , নির্দিষ্ট অ্যাপ্লিকেশনগুলি সিস্টেম লাইব্রেরি থেকে পৃথক দুর্বল সংস্করণের বিরুদ্ধে স্থিরভাবে সংযুক্ত করা সম্ভব।


মতে ক্রেতা এই মন্তব্যটি , অ্যান্ড্রয়েড এর নির্দিষ্ট কিছু সংস্করণে হয় এই বাগ দ্বারা প্রভাবিত। সবচেয়ে খারাপ বিষয়, কিছু ব্রাউজার, বিশেষত অন্তর্নির্মিত ও ক্রোম সম্ভবত এটি ব্যবহার করে এবং তাই দুর্বল।

অ্যান্ড্রয়েড 4.1.1_r1 ওপেনএসএসএলকে 1.0.1 সংস্করণে আপগ্রেড করেছে: https://android.googlesource.com/platform/extern/openssl.git/+/android-4.1.1_r1

অ্যান্ড্রয়েড ৪.১.২_আরআর হার্টবিটসটি স্যুইচ করেছে: https://android.googlesource.com/platform/extern/openssl.git/+/android-4.1.1.2_r1

যে অ্যান্ড্রয়েড 4.1.1 দুর্বল! আমার অ্যাক্সেস লগগুলির একটি দ্রুত গ্রেপ প্রকাশ করে যে প্রচুর ডিভাইস এখনও চলছে ৪.১.১।

কিছু অন্যান্য উত্স ইঙ্গিত দেয় যে 4.1.0 এছাড়াও দুর্বল

এটির সমাধানের সহজতম উপায় হ'ল যদি সম্ভব হয় তবে সংস্করণটি আপগ্রেড করা। আপনি যদি ভাগ্যবান হন তবে আপনার ক্যারিয়ার একটি নতুন সংস্করণ প্রকাশ করবে - তবে আমি এটির উপর নির্ভর করব না। যদি তা না হয় তবে আপনাকে কাস্টম রমগুলি, সম্ভবত একটি ডাউনগ্রেড, বা রুট করে ম্যানুয়ালি লাইব্রেরিটি প্রতিস্থাপন করতে হবে।

আপনি এই সমস্যাটি সমাধান করার পক্ষে এটি অত্যন্ত প্রস্তাবিত। এই ত্রুটির ফলে আপনার ব্রাউজার থেকে কোনও দূষিত সার্ভারের মাধ্যমে ব্যবহারকারীর নাম এবং পাসওয়ার্ড সহ ডেটা চুরি হতে পারে।


1
সুতরাং আমি যদি এটি সঠিকভাবে বুঝতে পারি তবে কেবল ৪.১.১ ছিল দুর্বল; পুরানো এবং নতুন সংস্করণগুলি না?
মাইকেল হ্যাম্পটন

2
@ মিশেলহ্যাম্পটন এটি দেখতে হ্যাঁ, এমনটিই মনে হচ্ছে। যদি না কোনও বিক্রেতা-নির্দিষ্ট ROM ভিন্ন লাইব্রেরি পাঠানোর সিদ্ধান্ত নেয়।
বব

7

সংক্ষিপ্ত ইঙ্গিত: কিছু অ্যাপ্লিকেশন তাদের নিজস্ব ওপেনসেল-লিবস (বা এর অংশগুলি) ব্যবহার করতে পারে। এটি যে কোনও ওএস-সংস্করণে সমস্যা সমাধান করতে পারে।

এবং: গুগল সমস্যা সম্পর্কে সচেতন । তাদের সরকারী বিবৃতিতে বলা হয়েছে যে কেবল অ্যান্ড্রয়েড ৪.১.১ দুর্বল ছিল।

অ্যান্ড্রয়েডের সমস্ত সংস্করণগুলি CVE-2014-0160 (অ্যান্ড্রয়েড 4.1.1 এর সীমাবদ্ধ ব্যতীত; অ্যান্ড্রয়েড 4.1.1 এর প্যাচিং তথ্য অ্যান্ড্রয়েড অংশীদারগুলিতে বিতরণ করা হচ্ছে) এর প্রতিরোধক।


গুগলের সরকারী প্রতিক্রিয়া শুনে ভাল লাগল is তবে আমি অন্য উত্তরটি গ্রহণ করেছি কারণ এটি ব্যাখ্যা করে যে কেন 4.1.1 সংবেদনশীল এবং 4.1.2 আর ঝুঁকিপূর্ণ নয়।
মাইকেল হ্যাম্পটন 13
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.