Marc Rogers, un directeur de la recherche de Lookout Mobile Security, a averti que les téléphones utilisant la version 4.1.1 du système d’exploitation de Google (nom de code Jelly Bean), étaient vulnérables à l’exploitation de la faille de sécurité Heartbleed.
D’après les statistiques de Google, 34,4 % des combinés utilisent cette version. Et l’expérience montre que les smartphones Android sont rarement mis à jour.
Pire encore, comme chaque fabricant adapte Android à sa guise, il faut vérifier individuellement si un appareil est capable d’être exploité.
Lookout met à disposition sur Google Play un utilitaire de vérification : Heartbleed Detector.
Si la faille de sécurité Heatbleed touche plus directement les serveurs, et qu’une attaque est plus difficile sur mobile, elle n’en est pas moins possible, à l’aide de l’injection de commandes malicieuses ou d’attaques plus sophistiquées de type Attaque de l’homme du milieu ou Cross-Site Request Forgery.
On recommande donc fortement d’éviter toute utilisation sensible comme la banque en ligne.
À noter aussi que BlackBerry a annoncé la vulnérabilité de son utilitaire BlackBerry Messenger sur tous les smartphones Android, iOS et Windows Phone et ses utilisateurs sont invités à installer la mise à jour.
Seule bonne nouvelle, les utilisateurs d’ordinateurs sont rarement touchés car aucun grand navigateur n’utilise la bibliothèque OpenSSL.