32 votes

Michael Hampton avatar

Comment la vulnérabilité de sécurité Heartbleed affecte-t-elle mon appareil Android ?

Demandé el 8 de Avril, 2014
Quand la question a-t-elle été
3197 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Le " Heartbleed "La vulnérabilité de certaines versions d'OpenSSL est un grave problème de sécurité qui permet à des serveurs ou clients malveillants d'obtenir de manière indétectable des données non autorisées à l'autre bout d'une connexion SSL/TLS.

Mon appareil Android a une copie d'OpenSSL installée dans /system/lib . Son numéro de version est 1.0.1c, ce qui semble le rendre vulnérable à cette attaque.

shell@vanquish:/ $ grep ^OpenSSL\  /system/lib/libssl.so                       
OpenSSL 1.0.1c 10 May 2012
  • En quoi cela me concerne-t-il ? Les applications Android utilisent-elles OpenSSL ? Si non, pourquoi est-il présent ?
  • Puis-je attendre une mise à jour du micrologiciel de la part de mon opérateur ? Si je perds mon téléphone, puis-je le mettre à jour moi-même ?
Demandé el 8 de Avril, 2014 par Michael Hampton

Réponses

Trop de publicités?

15voto

Bob avatar
Bob Points 428

Il y a maintenant une nouvelle attaque qui cible les réseaux sans fil et les appareils qui y sont connectés. La simple connexion à un réseau sans fil d'entreprise (qui utilise le protocole EAP pour la sécurité) suffit si vous utilisez une version vulnérable d'Android. Cependant, il est peu probable (ne me citez pas !) qu'ils puissent récupérer quoi que ce soit de particulièrement sensible sur votre appareil Android avec cette méthode. Peut-être votre mot de passe de connexion sans fil.

Vous pouvez utiliser un outil de détection ( plus d'infos ) pour vérifier si vous avez une librairie OpenSSL vulnérable sur votre appareil. Notez que, comme lars.duesing mentionne Il est possible que des applications spécifiques soient liées statiquement à des versions vulnérables différentes de la bibliothèque système.

Selon ce commentaire sur Reddit certaines versions d'Android sont affectés par ce bogue. Pire encore, certains navigateurs, notamment le navigateur intégré et Chrome, l'utilisent éventuellement et sont donc vulnérables.

Android 4.1.1_r1 a mis à jour OpenSSL à la version 1.0.1 : https://Android.googlesource.com/platform/external/openssl.git/+/Android-4.1.1_r1

Android 4.1.2_r1 a désactivé les battements de cœur : https://Android.googlesource.com/platform/external/openssl.git/+/Android-4.1.2_r1

Cela laisse Android 4.1.1 vulnérable ! Une recherche rapide dans mes journaux d'accès révèle que de nombreux appareils fonctionnent encore en 4.1.1.

D'autres sources indiquent que La version 4.1.0 est également vulnérable .

Il semble que le moyen le plus simple de résoudre ce problème soit de mettre à niveau cette version, si possible. Si vous avez de la chance, votre opérateur publiera une nouvelle version - mais je ne compterais pas dessus. Si ce n'est pas le cas, vous devrez peut-être chercher des ROMs personnalisées, éventuellement un downgrade, ou un rootage et un remplacement manuel de la bibliothèque.

Il est fortement recommandé de résoudre ce problème. Ce bogue peut entraîner le vol de données, y compris de noms d'utilisateur et de mots de passe, dans votre navigateur par un serveur malveillant.

Répondu el 8 de Avril, 2014 par Bob (428 Points )

7voto

lars.duesing avatar
lars.duesing Points 71

Petit indice : PEUT-ÊTRE que certaines applications utilisent leurs propres openssl-libs (ou des parties de ceux-ci). Cela peut poser des problèmes sur n'importe quelle version d'OS.

Et : Google est conscient du problème . Leur déclaration officielle dit que seul Android 4.1.1 était vulnérable.

Toutes les versions d'Android sont immunisées contre CVE-2014-0160 (à l'exception limitée d'Android 4.1.1 ; Parcheando les informations pour Android 4.1.1 sont en cours de distribution aux partenaires Android).

Répondu el 10 de Avril, 2014 par lars.duesing (71 Points )

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X