Heartbleed n'est pas seulement un problème de bureau - votre Android pourrait être un risque
La plupart d'entre nous connaissent Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lisez Plus comme un bogue affectant les sites Web et les serveurs Web, mais Android 4.1.1 utilise également la version vulnérable d'OpenSSL. En d'autres termes, certains smartphones et tablettes Android sont vulnérables aux attaques de Heartbleed.
Quel est le risque?
Heartbleed a été utilisé pour attaquer divers serveurs Web. Fouiller dans le battage médiatique: Heartbleed a-t-il réellement blessé quelqu'un? Creuser dans le battage médiatique: Heartbleed a-t-il réellement blessé quelqu'un? Lire la suite . En résumé, les serveurs exécutant la version vulnérable d'OpenSSL ont un bogue dans leur cryptage qui peut être exploité. En envoyant des paquets spécialement conçus, les attaquants peuvent forcer le serveur Web à répondre avec des fragments de sa mémoire de travail. Cette mémoire de travail peut contenir des mots de passe sensibles, des clés de chiffrement privées et d’autres données importantes..
Votre appareil Android ne fonctionne pas comme un serveur Web, bien sûr. Le problème est que la faille peut également fonctionner en sens inverse si le client - Android, dans ce cas-ci - exécute un logiciel OpenSSL vulnérable. En d'autres termes, lorsque vous vous connectez à un site Web malveillant ou compromis à partir de votre appareil Android 4.1.1, le site Web peut envoyer des paquets spécialement conçus et forcer votre téléphone ou votre tablette Android à répondre avec des fragments de sa mémoire de travail. Cette mémoire peut contenir des données sensibles - par exemple, elle pourrait donner des données appartenant à une application de banque en ligne ou le numéro de votre carte de crédit d'une application de magasinage en ligne enregistrée en mémoire. Il pourrait donner des mots de passe, des messages privés et tout ce que votre Android pourrait avoir en mémoire.
Si vous utilisez un appareil vulnérable, les sites Web auxquels vous vous connectez via votre navigateur et d'autres applications pourraient utiliser la faille Heartbleed pour capturer le contenu de la mémoire de votre appareil..
Combien de périphériques sont vulnérables?
Google a divulgué cette information dans son article de blog sur Heartbleed:
“Toutes les versions d'Android sont immunisées contre CVE-2014-0160 (à l'exception limitée d'Android 4.1.1; des informations de correction pour Android 4.1.1 sont distribuées aux partenaires Android)..”
La bonne nouvelle est que votre appareil Android va probablement bien. La mauvaise nouvelle est que le tableau de bord des développeurs de Google indique que pas moins de 33,5% des appareils en utilisation active exécutent la version 4.1.x, également appelée Jelly Bean. Cela inclut les appareils fonctionnant sous d'autres versions d'Android 4.1 Les 12 meilleurs conseils Jelly Bean pour une nouvelle expérience de tablette Google Les 12 meilleurs conseils Jelly Bean pour une nouvelle expérience de tablette Google Android, initialement fourni avec le Nexus 7, offre une nouvelle surpasse les versions précédentes d'Android. Cela a même impressionné nos fans résidents d'Apple. Si vous avez un Nexus 7,… Read More, nous ne savons donc pas exactement combien d'appareils utilisent Android 4.1.1 en particulier..
Vérifiez si votre appareil est vulnérable
Si vous n'êtes pas sûr de la version Android utilisée par vos appareils, vous devez d'abord vérifier. Ouvrez l'application Paramètres, faites défiler vers le bas de l'écran et appuyez sur À propos du téléphone ou À propos de la tablette. Vous verrez le numéro de version affiché sous la version Android sur cet écran..
Si vous voyez autre chose que 4.1.1, tout va bien. Si vous voyez 4.1.1, vous pouvez avoir un problème.
Pour vérifier si vous êtes réellement vulnérable, vous pouvez installer l'application Heartbleed Security Scanner de Lookout. Cette application ne vérifie pas seulement votre version installée d'Android. Au lieu de cela, il vérifie si la version d'OpenSSL sur votre appareil est vulnérable à Heartbleed. Il vérifie également si le périphérique est réellement vulnérable. Si OpenSSL a été créé sans prise en charge des pulsations sur votre périphérique, vous êtes peut-être en sécurité..
Ici, nous utilisons un Nexus 4 avec Android 4.4.2 et Heartbleed Detector indique que OpenSSL est vulnérable. Cependant, la fonctionnalité de pulsation est désactivée sur cette version d'Android, donc tout va bien. En dépit du message d'avertissement potentiellement préoccupant, nous n'avons pas à nous inquiéter du tout.
Mettre à jour votre appareil
La vraie solution pour les appareils vulnérables est une mise à jour. Comme Google l'a dit, ils essaient d'aider les fabricants d'appareils Android et les opérateurs de téléphonie mobile à appliquer des correctifs à leurs appareils. Cependant, nous savons tous que la mise à jour d'Android peut être un désordre. Les fabricants ont de nombreux périphériques à mettre à jour, de sorte qu'ils n'ont peut-être pas encore publié de correctif - ou ne publient jamais de correctif si le périphérique est plus ancien. Même si un fabricant publie un correctif, les opérateurs de téléphonie mobile devront le déployer et risquent de traîner les pieds ou de ne jamais le publier..
Si votre appareil est vulnérable, vous devez essayer de mettre à jour la dernière version disponible d'Android pour votre appareil à l'aide de sa fonctionnalité de mise à jour intégrée. Cela varie d'un appareil à l'autre et d'un opérateur à l'autre.
Si vous ne pouvez pas mettre à jour
Si votre matériel Android est vulnérable à Heartbleed et qu'aucun correctif n'est disponible, nous espérons en obtenir un bientôt. Pour des raisons de sécurité, évitez de stocker des données sensibles sur votre appareil. Pour ce faire, vous devez désinstaller les applications de banque en ligne, ne pas saisir votre carte de crédit dans des sites Web et des applications, etc. Bien sûr, vos mots de passe et vos messages seront toujours exposés. Vous devez vraiment éviter de visiter les sites Web et d'utiliser des applications autant que possible si votre appareil est une vulnérabilité..
La majorité des appareils Android n’exécutent pas de version vulnérable et la majorité des appareils exécutant les versions vulnérables devraient disposer de mises à jour pour résoudre ce problème. Si vous utilisez l'un des rares appareils non mis à jour, arrêtez de stocker des données sensibles sur l'appareil. Vous souhaiterez peut-être contacter votre opérateur ou le fabricant de l'appareil pour savoir s'ils publieront bientôt une mise à jour. Si votre appareil ne reçoit pas de mise à jour, il est peut-être temps d'en acheter une nouvelle..
Bien sûr, vous pouvez toujours installer une ROM personnalisée. Comment trouver et installer une ROM personnalisée pour votre appareil Android. Comment trouver et installer une ROM personnalisée pour votre appareil Android. Android est super personnalisable, mais pour en profiter pleinement, vous devez flasher une ROM personnalisée. Voici comment faire ça. Lisez plus comme CyanogenMod Comment installer CyanogenMod sur votre appareil Android Comment installer CyanogenMod sur votre appareil Android Beaucoup de gens s'accordent à dire que le système d'exploitation Android est plutôt impressionnant. Son utilisation est non seulement agréable, mais elle est également gratuite comme en open source, de sorte qu'elle puisse être modifiée… Lire la suite pour remplacer la version d'Android fournie avec votre appareil. Cela vous donnera une version mise à jour d'Android qui n'est pas vulnérable, mais c'est un peu plus de travail.
Bien sûr, il n’ya peut-être aucun cas connu d’exploitation de cette vulnérabilité, mais il vaut mieux prévenir que guérir. Il serait très difficile de détecter si un appareil Android était exploité.
Heartbleed a été utilisé pour capturer en ligne des informations fiscales sensibles, des mots de passe et d'autres données. Il est donc préférable d'éviter d'utiliser des logiciels vulnérables aux attaques de Heartbleed..
Crédit d'image: Indi Samarajiva sur Flickr
Explorer plus sur: Custom Android Rom, SSL.