Heartbleed amenaza a 1.300 aplicaciones móviles
Las noticias en torno a Heartbleed se suceden a ritmo vertiginoso. Ayer informábamos de que cuatro expertos han demostrado por separado que se puede obtener la clave de cifrado de un servidor, utilizando el gusano Heartbleed. Ahora Trend Micro alerta que el gusano supone para las apps móviles. De entre más 390.000 aplicaciones de Google Play analizadas, 1.300 pueden ser vulnerables, según la firma.
- McAfee lanza una solución gratuita que localiza sitios web afectados por Heartbleed
- Las pruebas confirman que Heartbleed puede exponer el cifrado de servidores OpenSSL
- Heartbleed también ha afectado a la banca online española
- Heartbleed, el grave fallo de seguridad en Internet, principal noticia de La semana TIC
Los últimos datos sobre Heartbleed eran que Github ha indicado que más de 600 de los principales 10.000 sitios son vulnerables. En el momento del análisis, entre los afectados se encontraban Yahoo, Flickr, OkCupid, la revista Rolling Stone y Ars Technica. Pues bien, Trend Micro va más allá y no sólo los sitios web son vulnerables, sino que las apps móviles también están en riesgo.
Lo hace tras realizar un análisis entre más de 390.000 aplicaciones de Google Play, y confirmar que 1.300 pueden ser vulnerables a HeartBleed, entre ellas 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 con tiendas online. También, según informa en un comunicado, la compañía ha encontrado varias apps populares que muchos usuarios utilizan a diario, como aplicaciones de mensajería instantánea, de salud y apps de configuración de teclado.
Para Trend Micro, es preocupante el tema de las aplicaciones de pago por móvil, puesto que “utilizan minería de datos de información sensible tanto personal como financiera, y sólo hace falta que los cibercriminales estén listos para recogerla”, explica.
Recomendaciones
Respecto a este tema, el especialista de Trend Micro, Veo Zhang, cree que no hay demasiado que se pueda hacer. “Le diríamos que cambiara su contraseña, pero eso no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores de servicios web. No solucionaría totalmente el problema. Esto supone la actualización de la versión parcheada de OpenSSL, o al menos una de las versiones no vulnerables”, señala.
Hasta que no se produzca, la recomendación es dejar de realizar compras desde la aplicación o cualquier transacción financiera durante un tiempo (incluidas actividades bancarias), hasta que el desarrollador de su aplicación emita un parche que elimine la vulnerabilidad.
Dominios afectados
Por otro lado, Trend Micro ha escaneado los principales nombres de dominios para medir el impacto de Heartbleed, y ha descubierto un porcentaje global de alrededor del 5 cinco en términos de sitios afectados por CVE-2014-0160. Entre los dominios de primer nivel con mayor porcentaje de sitios vulnerables se encuentra .KR y .JP. Los sitios web con extensión .GOV ocupan el quinto puesto del ranking.
