Google a annoncé la semaine dernière qu’Android 4.1.1 est sensible au bug Heartbleed d’OpenSSL. Alors qu’Android 4.1.1 est, selon Google, la seule version Android vulnérable à Heartbleed, il demeure des millions de smartphones et tablettes encore en usage.
Google a déclaré que moins de 10% des dispositifs actifs utilisaient Android 4.1.1, mais les chiffres officiels de Google montrent que pour l’agrégation des versions Android 4.1.x, ce serait environ 34%. Selon Charles Arthur, un journaliste de The Guardian, le nombre d'appareils concernés pourrait être de 50 millions, dont 4 millions aux États-Unis. Le chiffre est calculé sur la base des données fournies par le cabinet d'analyse Chitika, qui montre que les utilisateurs des versions d’Android 4.1.1 ont généré 19 % du total du trafic d’Android en Amérique du Nord.
Cependant, le problème sur Android pourrait être plus étendu que cela. En effet, Marc Rogers, chercheur principal en sécurité de Lookout Mobile, un fournisseur de logiciels antimalware pour les téléphones Android, a déclaré à Ars Technica que certaines versions personnalisées d'Android 4.2.2 se trouvent également être sensibles et que d'autres versions pourraient aussi contenir le défaut critique d’Heartbleed.
Google a déjà patché Android 4.1.1 et distribué les informations de patchs aux partenaires d’Android, selon un communiqué officiel. Cependant, il reste à voir comment le patch est effectivement déployé, puisque les mises à jour d’Android sont contrôlées par les opérateurs et les fabricants de téléphones, et non par Google. En outre, comme le signalait, il y a un moment, Ars Technica, les opérateurs ont par le passé déjà échoué à fournir aux consommateurs des mises à jour de sécurité pourtant disponibles.
L'attention autour d’Heartbleed a d'abord été portée sur le scénario le plus direct : un client malveillant attaquant un serveur HTTPS pour voler des cookies, des clés privées et d'autres secrets. Malheureusement, comme le dit la firme de sécurité Meldium, les pulsations TLS sont symétriques, de sorte qu'elles peuvent être exploitées sur n'importe quel point de connexion terminal, le client ou le serveur. Ainsi, un serveur malveillant peut envoyer des paquets erronés de pulsations à un client non patché et potentiellement en extraire des données sensibles.
Selon Meldium, le bug Heartbleed inversé est plus difficile à exploiter, premièrement car les clients qui utilisent le pinning de certificat peuvent fermer rapidement la connexion une fois qu'ils réalisent que le certificat du serveur ne correspond pas, et deuxièmement car les requêtes de signal lancées par le serveur nécessitent qu'une connexion ait été établie avec succès. Néanmoins, Meldium a prouvé que les clients vulnérables peuvent effectivement être utilisés pour envoyer des centaines de morceaux de 16Ko de mémoire, si le serveur utilise quelques astuces pour garder la connexion ouverte le plus longtemps possible.
iOS ne semble pas être affecté puisque Apple n'a jamais utilisé OpenSSL dans iOS. Microsoft a déclaré que l’implémentation de SSL/TLS dans Windows n'était pas non plus affectée. Nous avons demandé des éclaircissements à Microsoft en ce qui concerne Windows Phone, mais nous n'avons pas eu de nouvelles au moment de cette publication. Nous mettrons à jour cet article si nous entendons parler d'eux.