Heartbleed: las apps también están afectadas

Por Veo Xhang (analista de amenazas a móviles)

La gravedad de la vulnerabilidad Heartbleed ha provocado que innumerables sitios web y servidores aborden la cuestión. Y con razón: un examen llevado a cabo en Github demostró que más de 600 de los 10.000 sitios (basados ​​en el ranking de Alexa ) eran vulnerables . En el momento de la exploración, algunos de los sitios afectados incluían Yahoo , Flickr, OkCupid , la revista Rolling Stone y Ars Technica .

Todo esto plantea la siguiente pregunta: » ¿Están los dispositivos móviles afectados?” La respuesta es sí.

Las aplicaciones móviles, nos guste o no, son tan vulnerables a Heartbleed como los sitios web porque a menudo se conectan a  servidores y servicios web para completar diversas funciones. Un considerable número de dominios se ven afectados por esta vulnerabilidad.

Suponga que está a punto de pagar por una compra de una aplicación y para hacerlo tiene que introducir los datos de su tarjeta de crédito. Lo hace y la aplicación móvil termina la transacción por usted. Mientras usted está jugando, sus datos de la tarjeta de crédito se almacenan en el servidor con el que la aplicación móvil hizo la transacción, permaneciendo allí durante un período de tiempo indeterminado. Mientras tanto, los ciberdelincuentes aprovechan la vulnerabilidad Heartbleed para apuntar a este servidor y extraer la información (su número de tarjeta de crédito). Es tan simple y tan fácil como eso.

¿Qué pasa con las aplicaciones que no ofrecen compras en la aplicación? ¿Están a salvo de esta vulnerabilidad? En realidad no, siempre y cuando se conecta a un servidor en línea sigue siendo vulnerable, incluso si su tarjeta de crédito no está involucrada. Por ejemplo, su aplicación podría pedirle un «me gusta» o “seguir” en una red social.

Supongamos que usted decide hacerlo y pincha «OK». Lo más probable es que su aplicación abra el sitio web por su cuenta, a través de su propio navegador in-app , e inicie sesión en la red social. No estamos diciendo que las redes sociales sean vulnerables a Heartbleed, pero la posibilidad, y por lo tanto el riesgo, están ahí.

Ahondando en el asunto y revisando algunos servicios web utilizados por las aplicaciones móviles más comunes los resultados muestran que existe la vulnerabilidad.

Se revisaron alrededor de 390.000 aplicaciones de Google Play, y se encontraron alrededor de 1.300 aplicaciones conectadas a servidores vulnerables. Entre ellos hay 15 aplicaciones relacionadas con los bancos, 30 con el pago en línea, y 10 están relacionados con compras en línea. También encontramos aplicaciones populares de uso diario para muchos usuarios, como aplicaciones de mensajería instantánea, aplicaciones de cuidado de la salud , aplicaciones de entrada de teclado más preocupantes , aplicaciones de pago , incluso móviles. Estas aplicaciones utilizan minas de datos de información personal y financiera sensibles de ser robadas por el ciberdelincuente.

¿Qué se puede hacer contra Heartbleed, entonces? No mucho, me temo. Podemos decir que cambie su contraseña, pero eso no va a ayudar si los desarrolladores de aplicaciones -y los proveedores de servicios web -no solucionan totalmente el problema. Esto supone la actualización de parches de OpenSSL.
Hasta entonces, lo que podemos aconsejarle es que se despida de realizar compras de apps o que realice cualquier transacción financiera durante un tiempo (incluidas las actividades bancarias) , hasta que el desarrollador de su aplicación libera un parche que elimine la vulnerabilidad. Le mantendremos informado sobre todo lo que está sucediendo con Heartbleed .

Para más información, visite

http://blog.trendmicro.com/trendlabs-security-intelligence/heartbleed-bug-mobile-apps-are-affected-too/

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.