Heartbleed n'est pas seulement un problème de bureau - Votre Android pourrait être un risque

La plupart d'entre nous connaissent Heartbleed comme un bug affectant les sites Web et les serveurs Web, mais Android 4.1.1 utilise également la version vulnérable d'OpenSSL. Cela signifie que certains smartphones et tablettes Android sont vulnérables aux attaques Heartbleed.

La plupart d'entre nous connaissent Heartbleed comme un bug affectant les sites Web et les serveurs Web, mais Android 4.1.1 utilise également la version vulnérable d'OpenSSL.  Cela signifie que certains smartphones et tablettes Android sont vulnérables aux attaques Heartbleed.
Publicité

La plupart d'entre nous connaissent Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite comme un bug qui a affecté les sites Web et les serveurs Web, mais Android 4.1.1 utilise également la version vulnérable d'OpenSSL. En d'autres termes, certains smartphones et tablettes Android sont vulnérables aux attaques Heartbleed.

Quel est le risque?

Heartbleed a été utilisé pour attaquer divers serveurs Web Creuser à travers le battage médiatique: a Heartbleed réellement blessé quelqu'un? Creuser à travers le battage médiatique: Heartbleed a-t-il réellement blessé quelqu'un? Lire la suite . En un mot, les serveurs exécutant la version vulnérable d'OpenSSL ont un bug dans leur cryptage qui peut être exploité. En envoyant des paquets spécialement conçus, les attaquants peuvent forcer le serveur Web à répondre avec des morceaux de sa mémoire de travail. Cette mémoire de travail peut contenir des mots de passe sensibles, des clés de chiffrement privées et d'autres données importantes.

Votre appareil Android ne fonctionne pas comme un serveur Web, bien sûr. Le problème est que la faille peut également fonctionner en sens inverse si le client - Android, dans ce cas - exécute un logiciel OpenSSL vulnérable. En d'autres termes, lorsque vous vous connectez à un site Web malveillant ou compromis à partir de votre appareil Android 4.1.1, le site Web peut envoyer des paquets spécialement conçus et forcer votre téléphone ou tablette Android à répondre avec des morceaux de sa mémoire de travail. Cette mémoire peut contenir des données sensibles - par exemple, elle pourrait donner des données appartenant à une application bancaire en ligne ou votre numéro de carte de crédit à partir d'une application de magasinage en ligne qui est enregistrée dans la mémoire. Il pourrait donner des mots de passe, des messages privés, et tout ce que votre Android peut avoir en mémoire.

Si vous utilisez un périphérique vulnérable, les sites Web auxquels vous vous connectez via votre navigateur et d'autres applications pourraient utiliser la faille Heartbleed pour capturer le contenu de la mémoire de votre appareil.

android-heartbleed-bug

Combien de périphériques sont vulnérables?

Google a divulgué cette information dans son article sur le blog d'information Heartbleed:

"Toutes les versions d'Android sont à l'abri de CVE-2014-0160 (avec l'exception limitée d'Android 4.1.1, les informations de correction pour Android 4.1.1 sont actuellement distribuées aux partenaires Android)."

Les bonnes nouvelles sont que votre appareil Android est probablement bien. La mauvaise nouvelle est que le tableau de bord des développeurs de Google indique que jusqu'à 33, 5% des appareils en cours d'utilisation utilisent la version 4.1.x, également connue sous le nom de Jelly Bean. Astuces Jelly Bean pour une nouvelle expérience de la tablette Google Astuces Jelly Bean pour une nouvelle expérience de la tablette Google Android Jelly Bean 4.2, initialement livré sur le Nexus 7, offre une nouvelle expérience de tablette qui surpasse les versions précédentes d'Android. Il a même impressionné notre fan d'Apple résident. Si vous avez un Nexus 7, ... Lisez plus, donc nous ne savons pas exactement combien de périphériques fonctionnent réellement Android 4.1.1 spécifiquement.

android-version-share-statistics

Vérifiez si votre appareil est vulnérable

Si vous n'êtes pas sûr de la version d'Android utilisée par vos appareils, vous devez d'abord vérifier. Ouvrez l'application Paramètres, faites défiler vers le bas de l'écran et appuyez sur À propos du téléphone ou À propos de la tablette. Vous verrez le numéro de version affiché sous la version Android sur cet écran.

Si vous voyez autre chose que 4.1.1, ça va. Si vous voyez 4.1.1, vous pouvez avoir un problème.

find-android-version-number

Pour vérifier si vous êtes réellement vulnérable, vous pouvez installer l'application Heartbleed Security Scanner de Lookout. Cette application ne vérifie pas seulement votre version installée d'Android. Au lieu de cela, il vérifie si la version d'OpenSSL sur votre appareil est vulnérable à Heartbleed. Il vérifie également si l'appareil est réellement vulnérable - si OpenSSL a été créé sans prendre en charge les pulsations sur votre appareil, vous pouvez être en sécurité.

Ici, nous utilisons un Nexus 4 avec Android 4.4.2 et Heartbleed Detector dit OpenSSL est vulnérable. Cependant, la fonctionnalité de pulsation est désactivée sur cette version d'Android, donc tout va bien. Malgré le message d'alerte potentiellement inquiétant, nous n'avons pas à nous inquiéter du tout.

is-my-android-vulnerable-to-heartbleed

Mettre à jour votre appareil

La vraie solution pour les périphériques vulnérables est une mise à jour. Comme Google l'a dit, ils essaient d'aider les fabricants d'appareils Android et les opérateurs de téléphonie cellulaire à réparer leurs appareils. Cependant, nous savons tous que la situation de mise à jour Android peut être un gâchis. Les fabricants disposent de nombreux périphériques différents à mettre à jour, ils n'ont donc peut-être pas encore publié de correctif, ou ils peuvent ne jamais publier un correctif si l'appareil est plus ancien. Même si un fabricant publie un patch, les opérateurs de téléphonie mobile devront le déployer et peuvent faire glisser leurs pieds ou tout simplement ne jamais libérer le patch.

Si votre appareil est vulnérable, vous devez essayer de mettre à jour la dernière version disponible d'Android pour votre appareil à l'aide de sa fonction de mise à jour intégrée. Cela varie d'un appareil à l'autre et d'un transporteur à l'autre.

update-android

Si vous ne pouvez pas mettre à jour

Si votre matériel Android est vulnérable à Heartbleed et qu'aucun correctif n'est disponible, j'espère que vous en aurez bientôt un. Pour être sûr, vous devriez éviter de stocker des données sensibles sur votre appareil - cela signifie désinstaller des applications bancaires en ligne, ne pas entrer votre carte de crédit dans des sites Web et des applications, et des choses similaires. Bien sûr, vos mots de passe et messages seront toujours exposés. Vous devriez vraiment éviter de visiter des sites Web et d'utiliser des applications autant que possible si votre appareil est une vulnérabilité.

La majorité des appareils Android n'exécutent pas de version vulnérable, et la majorité des appareils exécutant les versions vulnérables doivent disposer de mises à jour disponibles pour résoudre ce problème. Si vous utilisez l'un des rares périphériques qui n'ont pas été mis à jour, vous devez arrêter de stocker des données sensibles sur le périphérique. Vous voudrez peut-être contacter votre opérateur ou le fabricant de l'appareil et voir s'il publiera bientôt une mise à jour. Si votre appareil ne reçoit pas de mise à jour, il est peut-être temps d'en obtenir un nouveau.

Bien sûr, vous pouvez toujours installer une ROM personnalisée Comment trouver et installer une ROM personnalisée pour votre appareil Android Comment trouver et installer une ROM personnalisée pour votre appareil Android Android est super personnalisable, mais pour profiter pleinement de cela, vous devez clignote une ROM personnalisée. Voici comment faire ça. Lire plus comme CyanogenMod Comment installer CyanogenMod sur votre appareil Android Comment installer CyanogenMod sur votre appareil Android Beaucoup de gens peuvent convenir que le système d'exploitation Android est assez impressionnant. Non seulement c'est génial à utiliser, mais c'est aussi gratuit que dans l'open source, afin qu'il puisse être modifié ... Lire la suite pour remplacer la version d'Android fournie avec votre appareil. Cela vous donnera une version à jour d'Android qui n'est pas vulnérable, mais c'est un peu plus de travail.

remove-sensitive-data

Bien sûr, il n'y a peut-être aucun cas connu de cette vulnérabilité exploitée, mais il vaut mieux prévenir que guérir. Il serait très difficile de détecter si un appareil Android était exploité.

Heartbleed a été utilisé pour capturer des informations fiscales sensibles, des mots de passe et d'autres données en ligne, il est donc préférable d'éviter d'utiliser un logiciel vulnérable aux attaques Heartbleed.

Crédit d'image: Indi Samarajiva sur Flickr

In this article