lunes, 14 de abril de 2014

Unas 1.300 aplicaciones de Android podrían ser vulnerables a Heartbleed, el gran fallo de Internet

Heartbleed, la vulnerabilidad que afecta a cientos de miles de servidores de Internetpodría hacer que unas 1.300 aplicaciones de Android estuvieran indefensas, según un análisis que ha hecho la empresa software de seguridad Trend Micro entre más de 390.000 aplicaciones de Google Play. Y es que las aplicaciones móviles -desde el navegador hasta las apps de banca o compra online-, como las páginas web, también alojan la información en un servidor. La empresa ha anunciado que ya ha informado a Google de esta incidencia.
Trend Micro incide en que, ante la posibilidad de comprar desde una aplicación móvil, a la hora de introducir los datos de la tarjeta de crédito y finalizarse la transacción, los datos bancarios se almacenan en un servidor y pueden permanecer allí por un periodo de tiempo indeterminado.
"Basta que los ciberdelincuentes aprovechen el error Heartbleed y se dirijan a ese servidor para extraer la información que almacena, entre la que se encuentra su número de tarjeta de crédito", explican.


Aplicaciones no bancarias

En cuanto a las apps que no ofrecen comprar, según la compañía de software de seguridad, tampoco están seguras, ya que si se conectan online a un servidor siguen siendo vulnerables, por ejemplo, al clicar "me gusta" en una red social o “seguir” a una persona para conseguir premios.
Lo más probable, señalan, es que la aplicación abra el sitio web por su cuenta en una ventana de navegador y el usuario tenga que iniciar la sesión en la red social desde allí. Aunque las redes sociales a las que accede el usuario no tienen por qué ser vulnerables al fallo Heartbleed, podrían serlo y existir riesgos.


Aplicaciones y dominios analizados

Entre las 1.300 aplicaciones analizadas por Trend Micro hay 15 relacionadas con bancos, 39 con servicios de pago online y 10 están relacionadas con tiendas online. Asimismo, la compañía ha encontrado varias apps populares que muchos usuarios utilizan a diario, como aplicaciones de mensajería instantánea, de salud y apps de configuración de teclado. Estas aplicaciones utilizan minería de datos de información sensible tanto personal como financiera, y podría estar expuesta a acciones de cibercriminales. 
Al intentar medir el impacto de la vulnerabilidad Heartbleed, la empresa ha escaneado los principales nombres de dominios (TLD, por Top Level Domain ) de ciertos países extraídos de entre más de un millón de dominios por Alexa. Tras separar los sitios que utilizan SSL, los investigadores los han clasificado como 'vulnerables' o 'seguros'. Alrededor de un 5% de los dominios están afectados por el fallo, con .kr y .jp a la cabeza, seguidos por .ru, .cn y .gov, según ha explicado el investigador de amenazas de Trend Micro, Maxim Goncharov.

¿Cómo protegerse de Heartbleed en el móvil?

El analista de amenazas móviles de Trend Micro, Veo Zhang, apunta que no se puede hacer gran cosa para proteger el móvil de Heartbleed. Le diríamos que cambiara su contraseña, pero eso no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores de servicios web. No solucionaría totalmente el problema. Esto supone la actualización de la versión parcheada de OpenSSL, o al menos una de las versiones no vulnerables", ha apuntado. Aunque Trend Micro aconseja dejar de realizar compras desde la aplicación o cualquier transacción financiera durante un tiempo, al menos hasta que el desarrollador de la aplicación emita un parche que elimine la vulnerabilidad, también se puede preguntar a la entidad bancaria si está presente en su servidor la librería OpenSSL.
En este sentido, la empresa ha anunciado que continuará analizando y escaneando el listado de los principales dominios seleccionados durante unos días con el fin de detectar posibles alteraciones y aconsejan a los administradores de sitios web actualizar OpenSSL para proteger a sus usuarios.

Fuente:  rtve.es