Η Google έκλεισε τις τρύπες του OpenSSL στις υπηρεσίες της, ασφαλές το Android εκτός της έκδοσης 4.1.1

[nnn]

Μετά την αποκάλυψη του 'Heartbleed' του σοβαρού κενού ασφαλείας του OpenSSL πρωτοκόλλου, που έθεσε
εδώ και 2 χρόνια δεδομένα σε υποκλοπή στα 2/3 των servers παγκοσμίως χωρίς ακόμα να είναι γνωστές οι επιπτώσεις, η Google ανακοίνωσε πως σφράγισε τα κενά ασφαλείας του OpenSSL σε μια σειρά υπηρεσιών της.

We’ve assessed this vulnerability and applied patches to key Google services such as Search, Gmail, YouTube, Wallet, Play, Apps, and App Engine.

Google Chrome and Chrome OS are not affected. We are still working to patch some other Google services.

Το Android δεν επηρεάζεται από το Heartbleed εκτός της έκδοσης 4.1.1 και η Google δίνει ήδη στους κατασκευαστές τις κατάλληλες οδηγίες για την επίλυση του, αν και παραμένει απίθανο αυτοί να κυκλοφορήσουν αναβαθμίσεις για τόσο παλιά έκδοση.

Android
All versions of Android are immune to CVE-2014-0160 (with the limited exception of Android 4.1.1; patching information for Android 4.1.1 is being distributed to Android partners).

Πηγή : Android Central

σχετικό θέμα : Σοβαρό κενό ασφαλείας στο OpenSSL

[lewton]

Πολύ λίγες συσκευές πήραν 4.1.1 πάντως.

[Nikiforos]

ΑΑΑ!! δλδ ισα ισα αφησανε εκτός το tablet μου! τελεια!!!

[nnn]

Έχω 2 συσκευές με 4.1.1, ακούει η MLS ?

[Zus]

Πρέπει να αλλάξουμε κωδικούς στις google υπηρεσίες?

[mrsaccess]

Πολύ περίεργο. Κανονικά ένα κινητό δεν πρέπει να τρέχει κάποιο server ώστε να είναι επισφαλές στο συγκεκριμένο bug. Η Google ωστόσο δεν εξηγεί τι κάνει την συγκεκριμένη έκδοση του Android ευάλωτη. Σε αναμονή εξηγήσεων.

- - - Updated - - -

Η απάντηση τελικά ήρθε από αλλού. Όπως ένας κακόβουλος client μπορεί να εκμεταλλευθεί το κενό για να δει μέρος της μνήμης ενός ευάλωτου server, έτσι και ένας κακόβουλος server μπορεί να χρησιμοποιήσει το κενό για να δει μέρος της μνήμης ενός ευάλωτου client. Υποθέτω είναι αρκετά πιο άκακο σε συσκευές απλών χρηστών αλλά είναι σημαντικό bug και πρέπει να διορθωθεί.

[Nikiforos]

Καλημέρα! Οκ στα pcia μας εβγαλαν ηδη αναβαθμισεις κτλ και φτιαχτηκε το bug, στο tablet με android 4.1.1 τι πρέπει να κάνουμε?

[mirtiano]

Μια λυση βλεπω.Οσοι εχουμε 4.1.1 να την αντικαταστησουμε με μια πιο προσφατη android version και ευκαιριας δεδομενης να απαλλαγουμε απο την σφιχτη αγγαλια της google.Nα το κανουμε το ταμπλετ...πως το λενε, rooted ???

A,και κατι που ξεχασα να πω.Θα γινω λιγο κακος τωρα.Μηπως εβγαλαν στη δημοσιοτητα αυτη την ''τρυπα στην ασφαλεια'' επειδη βρηκαν μια αλλη,καινουρια να κανουν τις βρωμοδουλιες τους;

Λεω εγω τωρα...
ο κακος ανθρωπος...
με το βρωμικο μυαλο...

[Nikiforos]

Δυστυχώς αν το tablet είναι κατι σε κινεζικο εμενα ειναι το apollo quicki 811 από eshop δεν εχει κατι νεοτερο, εννοειτε οτι εχω παρει δικαιωματα root, αλλωστε αυτο ειναι MUST! Ενω το κινεζικης μαρκας κινητο μου εφτασε με cyanogenmod 10.2 rom σε android 4.3.1. Αλλά εχω την butterfly rom V1.1 με Android 4.2.2. Οι παλιότερες εκδόσεις android δεν επηρεάζονται? το παλιοτερο κινητο μου με cyanogenmod rom android 2.3.7 δλδ?

[dchatz]

Huawei G510 της VODAFONE. Έχει την 4.1.1 και υποθέτω ότι έχει πουλήσει αρκετα. Μάλιστα εγώ έχω εφαρμογή της WINBANK της ΠΕΙΡΑΙΩΣ για να βλέπω το λογαριασμό μου εκεί. Θα μας σπάσουν τα νεύρα τώρα;

[Nikiforos]

Εγώ πάντως θα ξηλωσω οσες εφαρμογες εχω στο tablet και αφορουν paypal, e-banking κτλ.

[dchatz]

Ειναι τοσο δυσκολο οσοι ειμαστε root να βρουμε το σωστο .lib και να αντικατάστησουμε το παλιο;

[Nikiforos]

Ειναι τοσο δυσκολο οσοι ειμαστε root να βρουμε το σωστο .lib και να αντικατάστησουμε το παλιο;

τι ειναι αυτο δεν σε πιανω....το lib ποιανου προγραμματος του openssl ? εχω tablet με δικαιωματα root και 4.1.1 για δωσε παραπανω πληροφοριες να το δουμε.