SEGURIDAD | Noticias | 16 ABR 2014

Heartbleed también afecta a las aplicaciones móviles

De las 390.000 aplicaciones de Google Play analizadas por Trend Micro, alrededor de 1.300 pueden ser vulnerables al fallo, entre ellas hay 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 con tiendas online.
Heartbleed 3
ComputerWorld

La gravedad de la vulnerabilidad de Heartbleed ha provocado que innumerables websites y servidores se hayan visto obligados a abordar esta cuestión. La amplia cobertura de este fallo plantea: “¿los dispositivos móviles se ven afectados por esto?” La respuesta más corta y directa es: sí. Son tan vulnerables a Heartbleed como lo son las páginas web. Esto se debe al hecho de que la mayoría de las apps ofrecen la posibilidad de comprar desde la aplicación, pues es una forma segura de conseguir más víctimas con esta vulnerabilidad.

 

Imaginemos que está a punto de pagar una compra realizada desde una app, y para hacerlo tiene que introducir los datos de la tarjeta de crédito. Usted sigue el procedimiento y la aplicación móvil finaliza la transacción. Pero mientras usted sigue con sus cosas, los datos de la tarjeta de crédito se almacenan en un servidor con el que se ha realizado la transacción de la app móvil y pueden permanecer allí por un período de tiempo indeterminado. Basta que los ciberdelincuentes aprovechen el error Heartbleed y se dirijan a ese servidor para extraer la información que almacena, entre la que se encuentra su número de tarjeta de crédito. Es tan sencillo y fácil como esto.

 

¿Y las apps que no ofrecen compras desde la aplicación están a salvo de esta vulnerabilidad? En realidad no, siempre y cuando se conecten online a un servidor, siguen siendo vulnerables, incluso si su tarjeta de crédito no está involucrada. Por ejemplo, su aplicación podría pedirle hacer "me gusta" en una red social, o “seguir” a otra persona para conseguir premios gratis. Si se pulsa "OK" lo más probable es que la aplicación abra el sitio web por su cuenta, a través del propio navegador de la app y el usuario tenga que iniciar la sesión en la red social desde allí. No es que las redes sociales a las que acceda el usuario sean vulnerables al fallo Heartbleed, pero existe la posibilidad, y por tanto el riesgo también.

 

Trend Micro ha escaneado más de 390.000 aplicaciones de Google Play, y ha encontrado que alrededor de 1.300 aplicaciones pueden ser vulnerables. Entre ellas hay 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 están relacionadas con tiendas online. Asimismo, la compañía ha encontrado varias apps populares que muchos usuarios utilizan a diario, como aplicaciones de mensajería instantánea, de salud y apps de configuración de teclado y lo que más preocupa, aplicaciones de pago por móvil. Estas aplicaciones utilizan minería de datos de información sensible tanto personal como financiera, y sólo hace falta que los cibercriminales estén listos para recogerla.

 

De momento, lo que Trend Micro aconseja es dejar de realizar compras desde la aplicación o cualquier transacción financiera durante un tiempo (incluidas actividades bancarias), hasta que el desarrollador de su aplicación emita un parche que elimine la vulnerabilidad.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información