Las aplicaciones Android vulnerables a Heartbleed, en el punto de mira

Un buen número de páginas web se han protegido ante la amenaza de Heartbleed, un agujero de seguridad que permite acceder a los datos privados de los usuarios. Lamentablemente, Android también ha sido presa de este error y varias aplicaciones aún no han sido parcheadas, poniendo en riesgo a los usuarios y sobre todo, a su privacidad. Concretamente, más de 150 millones de descargas de aplicaciones para este sistema operativo serían vulnerables al bug de Heartbleed, tal y como indica una nueva investigación sobre seguridad llevada a cabo por tres investigadores de FireEye: Yulong Zhang, Hui Xue y Tao Wei. “Para la plataforma Android, hemos encontrado que unas 150 millones de descargas de aplicaciones Android contienen librerías OpenSSL vulnerables a Heartbleed”, indican en el informe. Estrictamente hablando, la mayoría de versiones de Android –exceptuando Jelly Bean 4.1 y 4.1.1- no son vulnerables por sí mismas a Heartbleed ya que no utilizan OpenSSL (y si alguna característica hace uso de estas librerías, está deshabilitada por defecto). No obstante, el problema llega en las aplicaciones individuales, que normalmente sí lo hacen, dejando la puerta abierta a los atacantes. Según podemos leer, la mayoría de estas apps vulnerables son videojuegos. La parte positiva es que no contienen datos demasiado útiles exceptuando las posibilidades de sincronizarlos con nuestras cuentas de Facebook o Twitter, algo bastante más jugoso para usuarios malintencionados. Por otro lado, de los 17 escáneres disponibles en Google Play para detectar problemas con Heartbleed, 6 de ellos no utilizan un método adecuado, siendo insuficientes para lograr proteger nuestro Android de la amenaza. Según los propios investigadores, tan solo dos de ellas hicieron un trabajo decente encontrando apps vulnerables a Heartbleed (no aportan sus nombres), lo que significa que ya existen desarrolladores que han comenzado a aprovecharse de los usuarios mediante el fraude. No obstante, a pesar de todos estos inconvenientes, debemos destacar que el número de aplicaciones Android potencialmente vulnerables ha disminuido notablemente, pasando de 220 millones a apenas 17 en prácticamente dos semanas, demostrando que la casi el 100% de desarrolladores se han tomado muy enserio la amenaza de Heartbleed. Vía BGR