lunes, abril 14, 2014

Más de 1.300 «apps» de Android, vulnerables ante el bug Heartbleed

La semana pasada fue anunciada la existencia de un grave fallo de seguridad en internet, el bug Heartbleed. Esta vulnerabilidad ha afectado a numerosas páginas web y servidores, esto debido a que el fallo está presente en el OpenSLL, una librería de encriptación usada de forma masiva por muchos para proteger claves e información sensible.

Las empresas de seguridad informática alertan que este fallo no sólo afecta a páginas web sino que también son sensibles las aplicaciones móviles, por lo menos para Android. Apple ha señalado que ninguno de sus servicios estarían comprometidos por el fallo ya que no utilizan OpenSLL para encriptar.
Según Trend Micro ha analizado más de 390.000 aplicaciones de Google Play encontrando unas 1.300 que pueden ser vulnerables a Heartbleed. Entre ellas hay 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 con tiendas online.
 
Después de un segundo repaso realizado por esta empresa, han determinado que un total de 7.000 aplicaciones está conectadas a servidores vulnerables. 
 

«Las aplicaciones móviles, nos guste o no, son tan vulnerables a Heartbleed como lo son las páginas web –además de las aplicaciones de navegador móvil, de compra online, banca o apps de licitación. Esto se debe al hecho de que la mayoría de las apps ofrecen la posibilidad de comprar desde la aplicación, pues es una forma segura de conseguir más víctimas con esta vulnerabilidad», escribe Veo Zhang, especialista en amenazas móviles. 

¿Qué se puede hacer contra Heartbleed, entonces? «No mucho, me temo. Le diríamos que cambiara su contraseña, pero eso no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores de servicios web. No solucionaría totalmente el problema. Esto supone la actualización de la versión parcheada de OpenSSL, o al menos una de las versiones no vulnerables», escribe.

Por su parte, plantea dejar de realizar compras a través de aplicaciones o abandonar cualquie tipo de actividad financiera hasta que los encargados de las apps realicen un parche de seguridad. Trend Micro ya ha informado a Google Play de esta investigación