21 de agosto de 2014

APLICACIONES ANDROID. Comprobación de vulnerabilidades a Heartbleed

Aunque ya se han actualizado la mayoría de los servidores y de las aplicaciones vulnerables a Heartbleed, es posible que aún quede algún sitio o aplicación vulnerable. Comprobarlas puede ser una tarea bastante tediosa si se hace de una en una, sin embargo, los usuarios de Android, pueden hacerlo fácilmente con Bluebox Heartbleed Scanner.
Esta aplicación se distribuye de forma totalmente gratuita desde la tienda de aplicaciones de Google, la Play Store ( SECCIÓN "Descarga aplicación" en este mismo post )
Una vez descargada e instalada en nuestro dispositivo la ejecutamos y comenzará a analizar el sistema.
En primer lugar nos mostrará si el sistema operativo completo está protegido frente a esta vulnerabilidad y, a continuación, analizará una a una todas las aplicaciones instaladas en busca de las que sean vulnerables.
Como podemos ver en la imagen anterior, el programa nos mostrará todas las aplicaciones que utilizan OpenSSL para establecer sus conexiones seguras, así como la versión del módulo. En el caso de utilizar una versión actualizada y no vulnerable nos lo indicará mediante el color verde. Si estamos utilizando una aplicación vulnerable ante Heartbleed veremos una cruz roja con los datos de dicha aplicación.
En caso de tener alguna aplicación que aún esté afectada por este fallo de seguridad debemos optar por cualquiera de las siguientes recomendaciones:
  • Bloquear todas las conexiones a Internet mediante un firewall para Android.
  • Desinstalar la aplicación.
  • Actualizarla (en el caso de no tener la última versión instalada).
  • Contactar con el desarrollador para pedir una actualización de seguridad lo antes posible
Heartbleed ha supuesto un duro golpe para la integridad de Internet y aún pasarán varios meses hasta que la vulnerabilidad sea solucionada por completo de todas las aplicaciones y de todos los módulos OpenSSL. De igual forma, algunas empresas como Google están trabajando en alternativas con un mayor mantenimiento y una mayor seguridad como BoringSSL para ofrecer alternativas reales a OpenSSL para todos aquellos desarrolladores que las quieran implementar.
Descarga aplicación
Fuente: Redeszone.net