Comment la vulnérabilité de sécurité Heartbleed affecte-t-elle mon appareil Android?

32

La vulnérabilité " Heartbleed " dans certaines versions d'OpenSSL est un problème de sécurité grave qui permet à des serveurs ou clients malveillants d'obtenir indétectablement des données non autorisées à l'autre extrémité d'une connexion SSL / TLS.

Une copie de OpenSSL est installée sur mon appareil Android /system/lib. Son numéro de version est 1.0.1c, ce qui semble le rendre vulnérable à cette attaque.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • Comment cela me concerne? Les applications Android utilisent-elles OpenSSL? Si non, pourquoi est-ce là?
  • Puis-je m'attendre à une mise à jour du micrologiciel de mon opérateur? Si je root mon téléphone, puis-je le mettre à jour moi-même?
Michael Hampton
la source
Je pense que ce n'est pas vulnérable, tant qu'il n'offre pas de service en utilisant openssl? Cela ne devrait vous concerner que si vous utilisez un serveur https ou openssh, par exemple. En fait, je voulais poster ceci en tant que commentaire à discuter, ne me blâmez pas si je me trompe ...
davidbaumann

Réponses:

15

Il y a maintenant une nouvelle attaque qui cible les réseaux sans fil et les périphériques qui leur sont connectés. Il suffit de vous connecter à un réseau sans fil d'entreprise (celui qui utilise EAP pour la sécurité) si vous utilisez une version vulnérable d'Android. Cependant, il est peu probable (ne me citez pas ceci!) Qu'ils puissent récupérer tout ce qui est particulièrement sensible sur votre appareil Android avec cette méthode. Peut-être que votre mot de passe de connexion sans fil.


Vous pouvez utiliser un outil de détection ( plus d'infos ) pour vérifier si vous avez un système vulnérable OpenSSL lib sur votre appareil. Notez que, comme le mentionne Lars.duesing , il est possible que des applications spécifiques soient liées statiquement à des versions vulnérables différentes de la bibliothèque système.


Selon ce commentaire sur Reddit , certaines versions d'Android sont concernées par ce bogue. Pire encore, certains navigateurs, notamment celui intégré et Chrome, l’utilisent éventuellement et sont donc vulnérables.

Android 4.1.1_r1 a mis à niveau OpenSSL vers la version 1.0.1: https://android.googlesource.com/platform/external/openss.git/+/android-4.1.1_r1.

Android 4.1.2_r1 a désactivé les pulsations: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

Cela laisse Android 4.1.1 vulnérable! Un rapide grep sur mes journaux d'accès révèle qu'un grand nombre de périphériques sont encore en cours d'exécution 4.1.1.

Certaines autres sources indiquent que 4.1.0 est également vulnérable .

Il semble que le moyen le plus simple de résoudre ce problème consiste à mettre à niveau cette version, si possible. Si vous avez de la chance, votre opérateur publiera une nouvelle version - mais je ne compterais pas dessus. Sinon, vous devrez peut-être étudier des ROM personnalisées, éventuellement une rétrogradation, un enracinement et un remplacement manuel de la bibliothèque.

Il est fortement recommandé de résoudre ce problème. Ce bogue peut entraîner le vol de données, notamment de noms d'utilisateur et de mots de passe, sur votre navigateur par un serveur malveillant.

Bob
la source
1
Donc, si je comprends bien, seul le 4.1.1 était vulnérable; les anciennes et les nouvelles versions ne sont pas?
Michael Hampton
2
@ MichaelHampton C'est à ça que ça ressemble, oui. Sauf si une ROM spécifique au fournisseur a décidé d’expédier une bibliothèque différente.
Bob le
7

Astuce: certaines applications peuvent utiliser leurs propres openssl-libs (ou des parties de ceux-ci). Cela PEUT ouvrir des problèmes sur n’importe quelle version d’OS.

Et: Google est conscient du problème . Leur déclaration officielle dit que seul Android 4.1.1 était vulnérable.

Toutes les versions d'Android sont immunisées contre CVE-2014-0160 (à l'exception de Android 4.1.1; les informations de correction pour Android 4.1.1 sont distribuées aux partenaires Android).

lars.duesing
la source
C'est bien d'entendre la réponse officielle de Google. Mais j’ai accepté l’autre réponse car elle explique pourquoi 4.1.1 est vulnérable et 4.1.2 n’est plus vulnérable.
Michael Hampton