Marc Rogers, un directeur de la recherche de Lookout Mobile Security, a averti que les téléphones utilisant la version 4.1.1 du système d’exploitation de Google (nom de code Jelly Bean), étaient vulnérables à l’exploitation de la faille de sécurité Heartbleed.

D’après les statistiques de Google, 34,4 % des combinés utilisent cette version. Et l’expérience montre que les smartphones Android sont rarement mis à jour.

Pire encore, comme chaque fabricant adapte Android à sa guise, il faut vérifier individuellement si un appareil est capable d’être exploité.

Lookout met à disposition sur Google Play un utilitaire de vérification : Heartbleed Detector.

Heartbleed Detector

Heartbleed Detector

Si la faille de sécurité Heatbleed touche plus directement les serveurs, et qu’une attaque est plus difficile sur mobile, elle n’en est pas moins possible, à l’aide de l’injection de commandes malicieuses ou d’attaques plus sophistiquées de type Attaque de l’homme du milieu ou Cross-Site Request Forgery.

On recommande donc fortement d’éviter toute utilisation sensible comme la banque en ligne.

À noter aussi que BlackBerry a annoncé la vulnérabilité de son utilitaire BlackBerry Messenger sur tous les smartphones Android, iOS et Windows Phone et ses utilisateurs sont invités à installer la mise à jour.

Seule bonne nouvelle, les utilisateurs d’ordinateurs sont rarement touchés car aucun grand navigateur n’utilise la bibliothèque OpenSSL.