Trend Micro ha analizado más de
390.000 aplicaciones de Google Play encontrando unas 1.300 que pueden ser
vulnerables a Heartbleed. Entre ellas hay 15 apps relacionadas con bancos, 39
con servicios de pago online y 10 con tiendas online.
La gravedad de la vulnerabilidad Heartbleed ha provocado que
innumerables websites y servidores se
hayan visto obligados a abordar esta cuestión. Y con razón: una prueba llevada
a cabo por Github ha puesto de manifiesto que más de 600 de los principales
10.000 sitios (tomando como base el ranking de Alexa) eran vulnerables. En el
momento del análisis, entre los afectados se encontraban Yahoo, Flickr,
OkCupid, la revista Rolling Stone y Ars Technica. Tal y como explica Veo Zhang,
analista de amenazas móviles de Trend Micro.
La amplia cobertura de este fallo plantea la siguiente pregunta: “¿los
dispositivos móviles se ven afectados por esto?” La respuesta más corta y
directa es: sí.
Las aplicaciones móviles, nos guste o no, son tan vulnerables a
Heartbleed como lo son las páginas web –además de las aplicaciones de navegador
móvil, de compra online, banca o apps de licitación. Esto se debe al hecho de
que la mayoría de las apps ofrecen la posibilidad de comprar desde la
aplicación, pues es una forma segura de conseguir más víctimas con esta
vulnerabilidad.
¿Qué pasa con las apps que no ofrecen compras desde la aplicación?
¿Están a salvo de esta vulnerabilidad? En realidad no, siempre y cuando se
conecten online a un servidor, siguen siendo vulnerables, incluso si su tarjeta
de crédito no está involucrada. Por ejemplo, su aplicación podría pedirle hacer
“me gusta” en una red social, o “seguir” a otra persona para conseguir premios gratis.
Supongamos que usted decide hacerlo, y pulsa “OK”. Lo más probable es
que su aplicación abra el sitio web por su cuenta, a través del propio
navegador de la app, y el usuario tenga que iniciar la sesión en la red social
desde allí. Si bien, no estamos diciendo que las redes sociales a las que
acceda el usuario sean vulnerables al fallo Heartbleed, lo cierto es que la
posibilidad está ahí, y por lo tanto, el riesgo también.
¿Qué se puede hacer contra Heartbleed, entonces? “No mucho, me temo”,
tal y como indica Veo Zhang. “Le diríamos que cambiara su contraseña, pero eso
no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores
de servicios web. No solucionaría totalmente el problema. Esto supone la
actualización de la versión parcheada de OpenSSL, o al menos una de las
versiones no vulnerables.
Hasta entonces, lo que Trend Micro aconseja es dejar de realizar
compras desde la aplicación o cualquier
transacción financiera durante un tiempo (incluidas actividades bancarias),
hasta que el desarrollador de su aplicación emita un parche que elimine la
vulnerabilidad. Trend Micro seguirá informando sobre todo lo que ocurra con el
fallo de Heartbleed.
(Trend Micro ya ha informado a Google Play de esta investigación).
Principales dominios de Internet afectados por país
- Al tratar de medir el impacto de la vulnerabilidad Heartbleed, Trend Micro ha procedido a escanear los principales nombres de dominios (TLD, por Top Level Domain ) de ciertos países extraídos de entre más de un millón de dominios por Alexa. A continuación, los investigadores de Trend Micro han separado a los sitios que utilizan SSL y han dado un paso más clasificándolos como “vulnerables” o “seguros”. En este análisis, Trend Micro ha encontrado datos interesantes.
- Por el momento, y según explica Maxim Goncharov, investigador de amenazas senior de Trend Micro, se ha descubierto un porcentaje global de alrededor del 5% en términos de sitios afectados por CVE-2014-0160 (código asignado a la vulnerabilidad Heartbleed ).
DOMINIOS DE INTERNET AFECTADOS POR PAÍS
