La vulnerabilidad Heartbleed también afecta a las aplicaciones móviles

Apps

14 Abril, 2014

La gravedad de la vulnerabilidad Heartbleed ha provocado que innumerables websites y  servidores se hayan visto obligados a abordar esta cuestión. Y con razón: una prueba llevada a cabo por Github ha puesto de manifiesto que más de 600 de los principales 10.000 sitios (tomando como base el ranking de Alexa) eran vulnerables. En el momento del análisis, entre los afectados se encontraban Yahoo, Flickr, OkCupid, la revista Rolling Stone y Ars Technica. Tal y como explica Veo Zhang, analista de amenazas móviles de Trend Micro.

La amplia cobertura de este fallo plantea la siguiente pregunta: “¿los dispositivos móviles se ven afectados por esto?” La respuesta más corta y directa es: .

Las aplicaciones móviles, nos guste o no, son tan vulnerables a Heartbleed como lo son las páginas web –además de las aplicaciones de navegador móvil, de compra online, banca o apps de licitación. Esto se debe al hecho de que la mayoría de las apps ofrecen la posibilidad de comprar desde la aplicación, pues es una forma segura de conseguir más víctimas con esta vulnerabilidad.

Imagina que está a punto de pagar una compra realizada desde una app, y para hacerlo tiene que introducir los datos de la tarjeta de crédito. Usted sigue el procedimiento y la aplicación móvil finaliza la transacción. Pero mientras usted sigue con sus cosas, los datos de la tarjeta de crédito se almacenan en un servidor con el que se ha realizado la transacción de la app móvil y pueden permanecer allí por un período de tiempo indeterminado. Basta que los ciberdelincuentes aprovechen el error Heartbleed y se dirijan a ese servidor para extraer la información que almacena, entre la que se encuentra su número de tarjeta de crédito. Es tan sencillo y fácil como esto.

¿Qué pasa con las apps que no ofrecen compras desde la aplicación? ¿Están a salvo de esta vulnerabilidad? En realidad no, siempre y cuando se conecten online a un servidor, siguen siendo vulnerables, incluso si su tarjeta de crédito no está involucrada. Por ejemplo, su aplicación podría pedirle hacer "me gusta" en una red social, o “seguir” a otra persona  para conseguir premios gratis.  

Supongamos que usted decide hacerlo, y pulsa "OK". Lo más probable es que su aplicación abra el sitio web por su cuenta, a través del propio navegador de la app, y el usuario tenga que iniciar la sesión en la red social desde allí. Si bien, no estamos diciendo que las redes sociales a las que acceda el usuario sean vulnerables al fallo Heartbleed, lo cierto es que la posibilidad está ahí, y por lo tanto, el riesgo también.

Si se ahonda en este asunto y se revisan algunos servicios web utilizados por las aplicaciones móviles más comunes, los resultados muestran que aún existe la vulnerabilidad.

Trend Micro ha escaneado más de 390.000 aplicaciones de Google Play, y ha encontrado que alrededor de 1.300 aplicaciones pueden ser vulnerables. Entre ellas hay 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 están relacionadas con tiendas online. Asimismo, la compañía ha encontrado varias apps populares que muchos usuarios utilizan a diario, como aplicaciones de mensajería instantánea, de salud y apps de configuración de teclado – y lo que más preocupa, aplicaciones de pago por móvil. Estas aplicaciones utilizan minería de datos de información sensible tanto personal como financiera, y sólo hace falta que los cibercriminales estén listos para recogerla.

¿Qué se puede hacer contra Heartbleed, entonces? “No mucho, me temo”, tal y como indica Veo Zhang. “Le diríamos que cambiara su contraseña, pero eso no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores de servicios web. No solucionaría totalmente el problema. Esto supone la actualización de la versión parcheada de OpenSSL, o al menos una de las versiones no vulnerables.

Hasta entonces, lo que Trend Micro aconseja es dejar de realizar compras desde la aplicación  o cualquier transacción financiera durante un tiempo (incluidas actividades bancarias), hasta que el desarrollador de su aplicación emita un parche que elimine la vulnerabilidad. Trend Micro seguirá informando sobre todo lo que ocurra con el fallo de Heartbleed.

(Trend Micro ya ha informado a Google Play de esta investigación).

Principales dominios de Internet afectados por país

Al tratar de medir el impacto de la vulnerabilidad Heartbleed, Trend Micro ha procedido a escanear los principales nombres de dominios (TLD, por Top Level Domain ) de ciertos países extraídos de entre más de un millón de dominios por Alexa. A continuación, los investigadores de Trend Micro han separado a los sitios que utilizan SSL y han dado un paso más clasificándolos como "vulnerables" o "seguros”. En este análisis, Trend Micro ha encontrado datos interesantes.

Por el momento,  y según explica Maxim Goncharov, investigador de amenazas senior de Trend Micro, se ha descubierto un porcentaje global de alrededor del 5% en términos de sitios afectados por CVE-2014-0160. Entre los dominios de primer nivel con mayor porcentaje de sitios vulnerables se encuentra .KR y .JP.  También es interesante destacar que los sitios con la extensión .GOV ocupan el quinto puesto del ranking.  

Impacto

¿Qué te pareció este artículo?

  • 341
  • 0

Recomendar

Recomendar

Si te pareció interesante este artículo, sé el primero en recomendarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Suscribete

Toda la actualidad del ecommerce en tu e-mail

Patrocinado por: Patrocinador

¿Qué retos y oportunidades en el comercio B2B surgen con la Transformación Digital?

Adaptarse o desaparecer: el móvil y las redes sociales están cambiando el mercado

Prime Day 2017: Amazon anuncia su tercer Prime Day anual con cientos de miles de ofertas, el 11 de julio

Los Marketplaces ya son el principal canal de búsqueda de información para comprar online

Alipay llega a España de la mano de BBVA

¿Cuál es el futuro de la banca en el sector de los pagos?

La UE multa a Google con la cifra récord de 2.420 MM€ por abuso de posición dominante con Google Shopping

Dinero Electrónico avanza en los modelos P2P. PetyCash, ejemplo de impulso a las transferencias de dinero entre particulares

El futuro de los pagos instantáneos

Comercio conversacional y los chatbots

La personalización como objetivo clave para obtener resultados

¿Es el ‘pago invisible’ el ingrediente secreto para la fidelización del cliente?

Perfil de los españoles frente a los pagos online

5 herramientas esenciales en tu servicio de atención al cliente

Omnicanalidad en los EcommBrunch: Mesa redonda con Disney, Marco Aldany, Samana Brands y GoTrive

Cómo mejorar la experiencia de usuario para aumentar el Life Time Value

¿Cómo la financiación omnichannel puede impulsar tus ventas tanto OFF como ONLINE”

¿Cómo Philips Lighting y MediaMarkt están mejorando la experiencia de cliente en tienda física?

Brasil, la locomotora que tira del ecommerce en América Latina

Rewans, el Pokemon Go para las marcas en Ecomm&Brunch Barcelona (vídeo)

Ecomm&Brunch Barcelona; Marketing automático para impulsar las ventas online (Vídeo)

Más leídas

Último número

Optimization WordPress Plugins & Solutions by W3 EDGE