হার্টবেল্ড সুরক্ষা দুর্বলতা কীভাবে আমার অ্যান্ড্রয়েড ডিভাইসে প্রভাব ফেলবে?

ওপেনএসএসএল-এর নির্দিষ্ট সংস্করণগুলিতে " হার্টবেল্ড " দুর্বলতা একটি গুরুতর সুরক্ষা সমস্যা যা দূষিত সার্ভার বা ক্লায়েন্টকে নির্বিচারে একটি এসএসএল / টিএলএস সংযোগের অন্য প্রান্ত থেকে অননুমোদিত ডেটা পেতে সক্ষম করে।

আমার অ্যান্ড্রয়েড ডিভাইসে ওপেনএসএসএল-এর একটি অনুলিপি ইনস্টল করা আছে /system/lib। এর সংস্করণ নম্বরটি 1.0.1c, যা এটিকে আক্রমণ থেকে দূর্বল করে তোলে।

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012

• এটি কীভাবে আমাকে প্রভাবিত করে? অ্যান্ড্রয়েড অ্যাপ্লিকেশনগুলি কি ওপেনএসএসএল ব্যবহার করে? তা না হলে ওখানে কেন?
• আমি কি আমার ক্যারিয়ার থেকে ফার্মওয়্যার আপডেটের আশা করতে পারি? আমি যদি আমার ফোনটি রুট করি তবে আমি কী নিজে এটি আপডেট করতে পারি?

এখন একটি নতুন আক্রমণ হয়েছে যা তারবিহীন নেটওয়ার্ক এবং তাদের সাথে সংযুক্ত ডিভাইসগুলিকে লক্ষ্য করে। আপনি যদি অ্যান্ড্রয়েডের একটি দুর্বল সংস্করণটি চালাচ্ছেন তবে কেবলমাত্র একটি কর্পোরেট ওয়্যারলেস নেটওয়ার্কে (সুরক্ষার জন্য EAP ব্যবহার করে এমন একটি) কেবলমাত্র সংযোগই যথেষ্ট। তবে, এটি অসম্ভাব্য (এই সম্পর্কে আমাকে উদ্ধৃতি দেবেন না!) তারা এই পদ্ধতিটি দিয়ে আপনার অ্যান্ড্রয়েড ডিভাইস থেকে বিশেষত সংবেদনশীল যে কোনও কিছু উদ্ধার করতে সক্ষম হবেন। হতে পারে আপনার ওয়্যারলেস সংযোগের পাসওয়ার্ড।

আপনার ডিভাইসে আপনার কোনও ঝুঁকিপূর্ণ সিস্টেম ওপেনএসএসএল লাইব রয়েছে কিনা তা পরীক্ষা করতে আপনি সনাক্তকরণ সরঞ্জাম ( আরও তথ্য ) ব্যবহার করতে পারেন । মনে রাখবেন যে, lars.dueing উল্লেখ হিসাবে , নির্দিষ্ট অ্যাপ্লিকেশনগুলি সিস্টেম লাইব্রেরি থেকে পৃথক দুর্বল সংস্করণের বিরুদ্ধে স্থিরভাবে সংযুক্ত করা সম্ভব।

মতে ক্রেতা এই মন্তব্যটি , অ্যান্ড্রয়েড এর নির্দিষ্ট কিছু সংস্করণে হয় এই বাগ দ্বারা প্রভাবিত। সবচেয়ে খারাপ বিষয়, কিছু ব্রাউজার, বিশেষত অন্তর্নির্মিত ও ক্রোম সম্ভবত এটি ব্যবহার করে এবং তাই দুর্বল।

অ্যান্ড্রয়েড 4.1.1_r1 ওপেনএসএসএলকে 1.0.1 সংস্করণে আপগ্রেড করেছে: https://android.googlesource.com/platform/extern/openssl.git/+/android-4.1.1_r1

অ্যান্ড্রয়েড ৪.১.২_আরআর হার্টবিটসটি স্যুইচ করেছে: https://android.googlesource.com/platform/extern/openssl.git/+/android-4.1.1.2_r1

যে অ্যান্ড্রয়েড 4.1.1 দুর্বল! আমার অ্যাক্সেস লগগুলির একটি দ্রুত গ্রেপ প্রকাশ করে যে প্রচুর ডিভাইস এখনও চলছে ৪.১.১।

কিছু অন্যান্য উত্স ইঙ্গিত দেয় যে 4.1.0 এছাড়াও দুর্বল ।

এটির সমাধানের সহজতম উপায় হ'ল যদি সম্ভব হয় তবে সংস্করণটি আপগ্রেড করা। আপনি যদি ভাগ্যবান হন তবে আপনার ক্যারিয়ার একটি নতুন সংস্করণ প্রকাশ করবে - তবে আমি এটির উপর নির্ভর করব না। যদি তা না হয় তবে আপনাকে কাস্টম রমগুলি, সম্ভবত একটি ডাউনগ্রেড, বা রুট করে ম্যানুয়ালি লাইব্রেরিটি প্রতিস্থাপন করতে হবে।

আপনি এই সমস্যাটি সমাধান করার পক্ষে এটি অত্যন্ত প্রস্তাবিত। এই ত্রুটির ফলে আপনার ব্রাউজার থেকে কোনও দূষিত সার্ভারের মাধ্যমে ব্যবহারকারীর নাম এবং পাসওয়ার্ড সহ ডেটা চুরি হতে পারে।

সংক্ষিপ্ত ইঙ্গিত: কিছু অ্যাপ্লিকেশন তাদের নিজস্ব ওপেনসেল-লিবস (বা এর অংশগুলি) ব্যবহার করতে পারে। এটি যে কোনও ওএস-সংস্করণে সমস্যা সমাধান করতে পারে।

এবং: গুগল সমস্যা সম্পর্কে সচেতন । তাদের সরকারী বিবৃতিতে বলা হয়েছে যে কেবল অ্যান্ড্রয়েড ৪.১.১ দুর্বল ছিল।

অ্যান্ড্রয়েডের সমস্ত সংস্করণগুলি CVE-2014-0160 (অ্যান্ড্রয়েড 4.1.1 এর সীমাবদ্ধ ব্যতীত; অ্যান্ড্রয়েড 4.1.1 এর প্যাচিং তথ্য অ্যান্ড্রয়েড অংশীদারগুলিতে বিতরণ করা হচ্ছে) এর প্রতিরোধক।