Heartbleed ha sido el gran protagonista tecnológico de los últimos días. Para los más despistados, se trata de un exploit en una librería SSL que podría llegar a difundir información personal que hasta entonces considerábamos a salvo. En Genbeta nos explican, más técnicamente, en qué consiste este problema. Para los que quieran un resumen más sencillo, esta imagen lo describe perfectamente.
Pero Heartbleed no sólo afecta a páginas web populares, servidores y VPN, sino que también otros dispositivos poseen esta misma vulnerabilidad al utilizar OpenSSL. Es el caso de algunos productos de Cisco y Juniper Networks. Y no son los únicos: ¿cómo ha afectado Heartbleed a los teléfonos móviles?
Android
Google fue uno de los primeros que reconoció oficialmente estar afectado por Heartbleed. Concretamente, a través de su blog oficial, aseguraban que la versión 4.1.1 era vulnerable. Las previas y posteriores, en principio, no presentan este problema. Los responsables de Google ya han "parcheado" el problema pero todavía falta que las operadoras distribuyan la actualización entre sus clientes.
Si tienes dudas sobre si tu teléfono Android está afectado o no, existen distintas aplicaciones (como Bluebox Heartbleed Scanner o Heartbleed Detector).
Respecto a Google Play, desde Google también reconocen que ha sufrido el mismo problema pero afirman que ya está solucionado. Lo recomendable es que cambies tu contraseña si utilizas este servicio.
Enlace | "Comunicado oficial de Google":http://googleonlinesecurity.blogspot.com.es/2014/04/google-services-updated-to-address.html
iOS
Desde Apple se han mostrado muy rotundos: "iOS y OS X nunca incorporaron este software vulnerable y los servicios web principales no han sido afectados".
Enlace | "Declaraciones de Apple a Re/Code":http://recode.net/2014/04/10/apple-says-ios-osx-and-key-web-services-not-affected-by-heartbleed-security-flaw/
Windows Phone
Desde Microsoft aseguran no haber sufrido el bug de OpenSSL: "Después de una meticulosa investigación, Microsoft ha determinado que las cuentas Microsoft, Microsoft Azure, Office 365, Yammer y Skype, junto a la mayoría de los servicios de Microsoft, no están afectados por Heartbleed". Aunque más adelante añaden que "algunos servicios seguirán siendo revisados y actualizados con más protecciones".
En declaraciones a Bloomberg, desde Microsoft decían un día después que Windows Phone está a salvo.
Enlace | "Comunicado oficial de Microsoft":http://blogs.technet.com/b/security/archive/2014/04/10/microsoft-devices-and-services-and-the-openssl-heartbleed-vulnerability.aspx
BlackBerry
Si bien su sistema operativo no ha sido afectado, sí que dos productos de BlackBerry han sufrido en sus propias carnes al temido Heartbleed: la herramienta de correo electrónico corporativo Secure Work Space y la aplicación BBM para Android e iOS. Se espera, según Reuters, que para este viernes lancen una actualización que solucione el problema.
Desde BlackBerry, además, aseguran que en su caso el bug no supone un gran problema de seguridad: "El nivel de riesgo aquí es extremadamente pequeño. Sería un ataque muy complejo que tiene que llevarse a cabo en una ventana de tiempo muy pequeña". Para ello, el atacante tendría que conseguir acceso a las aplicaciones a través de la misma red WiFi o de la propia red de la operadora que utiliza el dispositivo vulnerable, según explicó la compañía.
Enlace | "Explicación oficial de BlackBerry":http://btsc.webapps.blackberry.com/btsc/viewdocument.do;jsessionid=CE9136DBE69878847C009710993D8429?externalId=KB35882&sliceId=1&cmd=displayKC&docType=kc&noCount=true&ViewedDocsListHelper=com.kanisa.apps.common.BaseViewedDocsListHelperImpl
Aplicaciones
Que BlackBerry Messenger esté afectado ya nos da una posible idea del problema: más allá de los propios fabricantes, también afecta a algunas aplicaciones móviles. Algunas apps llevan a cabo transacciones a través de un servidor que es vulnerable (pensemos en si hacemos una compra in-app o en un login en los que nuestros datos se guardan en remoto en un sitio afectado por Heartbleed). En TrendMicro realizaron un análisis de las aplicaciones más populares en Google Play y, de 390.000 analizadas, 7.000 se conectaban a servidores afectados.
En este caso, y aunque desde TrendMicro han analizado sólo apps de Google Play, las aplicaciones afectadas lo están en todos los sistemas operativos por lo que acabamos de comentar: el servidor, que es el nexo débil, es el elemento común a todas ellas. Dropbox, Box, Facebook, Flickr, Instagram, Tumblr... De momento sabemos que todas éstas han tenido el problema y ya lo han arreglado (por lo que toca cambiar la contraseña cuanto antes), aunque podríamos ir conociendo más. De momento, podéis ver una lista en detalle en Digital Trends.
¿Qué hacer?
Por desgracia nosotros, los usuarios, poco o nada podemos hacer para solucionar el problema. Son los propios fabricantes y desarrolladores los que deben preparar soluciones para sus sistemas operativos y apps. De momento, si tu teléfono está afectado por Heartbleed, lo mejor es actualizar la versión de Android si es posible y, si no, directamente no utilizarlo para transmitir datos sensibles mientras tanto.
En el caso de las aplicaciones, se mantiene el consejo que nos daban nuestros compañeros de Xataka para los servicios web: esperar a que actualicen su versión y, una vez hayan solucionado el problema, cambiar la contraseña a modo de precaución. Pero cuidado, ya que hay que seguir este orden. De nada sirve cambiar nuestra clave si el servicio sigue siendo vulnerable.
Más información | "Todo sobre Heartbleed":https://www.genbeta.com/tag/heartbleed
Ver 2 comentarios