Estoy tratando de encontrar si una aplicación de Android es vulnerable a la vulnerabilidad del corazón. Quiero saber cómo comprobar si la aplicación es vulnerable a un problema de corazón invirtiendo el archivo de la aplicación.
Estoy tratando de encontrar si una aplicación de Android es vulnerable a la vulnerabilidad del corazón. Quiero saber cómo comprobar si la aplicación es vulnerable a un problema de corazón invirtiendo el archivo de la aplicación.
Heartbleed es principalmente una vulnerabilidad del lado del servidor y no en el cliente. Por supuesto, usted no puede detectar el problema del lado del servidor al examinar el código del lado del cliente. Incluso si el cliente tiene un código SSL muy antiguo, no sabe qué está ejecutando el servidor.
Puede probar el servidor para el corazón en enlace .
Se produciráHeartbleed en el cliente si el cliente está utilizando una versión prefijada de OpenSSL. La vulnerabilidad del cliente solo puede ser explotada por un servidor con el que el cliente ha contactado. Es decir, un servidor no puede encontrar a su cliente al husmear en la red o algo por el estilo. El cliente debe iniciar el contacto.
Una explotación exitosa permitirá al servidor leer la memoria de proceso del cliente. (La memoria de lectura con Heartbleed es complicada y puede que no sea posible leer toda la memoria del proceso, pero ignoremos eso).
(Gracias a @StackzOfZtuff por ayudar con esta edición)
Lea otras preguntas en las etiquetas android heartbleed reverse-engineering