Sto cercando di scoprire se un'applicazione Android è vulnerabile alla vulnerabilità heartbleed. Voglio sapere come verificare se l'applicazione è vulnerabile a perdere il cuore invertendo il file dell'app.
Sto cercando di scoprire se un'applicazione Android è vulnerabile alla vulnerabilità heartbleed. Voglio sapere come verificare se l'applicazione è vulnerabile a perdere il cuore invertendo il file dell'app.
Heartbleed è principalmente una vulnerabilità lato server e non nel client. Ovviamente, non è possibile rilevare il problema sul lato server dall'esame del codice lato client. Anche se il client ha un codice SSL molto vecchio, non si sa cosa sta facendo il server.
Puoi testare il server per heartbleed al link .
Se il client utilizza una versione pre-fissata di OpenSSL, si verificherà un problema di heartbleed sul client. La vulnerabilità del client può essere sfruttata solo da un server che il client ha contattato. Cioè, un server non riesce a trovare il tuo client spiando la rete o qualcosa del genere. Il cliente deve iniziare il contatto.
Un exploit di successo consentirà al server di leggere la memoria di processo del client. (La lettura della memoria con Heartbleed è complicata e potrebbe non essere possibile leggere tutta la memoria del processo, ma ignoriamola.)
(Grazie a @StackzOfZtuff per l'aiuto con questa modifica)
Leggi altre domande sui tag reverse-engineering android heartbleed