¿Se acuerdan de Heartbleed? En abril 2014, esta vulnerabilidad causó pánico a nivel general porque puso en entredicho la efectividad de usar contraseñas para servicios como Gmail y Facebook. Pese a que hubo una jornada masiva para parchar servidores, McAfee Labs advierte que esta y otras vulnerabilidades en SSL siguen siendo una amenaza para móviles.
En su último informe de amenazas McAfee Labs hace constar que los proveedores de aplicaciones móviles han sido lentos para solucionar las vulnerabilidades más básicas del SSL, siendo la principal de ellas validación incorrecta de la cadena de certificados digitales, que es en esencia lo que implica Heartbleed.
En septiembre del año pasado, cuando aún persistía la alerta por vulnerabilidades en SSL, el Equipo de Respuestas a Emergencias Informáticas (CERT) de la universidad Carnegie Mellon presentó una lista de aplicaciones móviles que no cumplían con los requisitosal enviar credenciales de acceso a través de conexiones desprotegidas. En enero de este McAfee Labs probó las 25 más populares, llegando a la conclusión de que no estaban aún parchadas debidamente.
Para determinar el grado de vulnerabilidad de estas aplicaciones los investigadores de McAfee Labs simularon ataques “Man in the Middle” (MITM) que lograron interceptar información compartida durante sesiones de SSL supuestamente seguras. Entre los datos vulnerables estaban nombres de usuarios y contraseñas y, en algunos casos, credenciales de acceso en redes sociales y otros servicios de terceros.
Aunque no existan evidencias de que dichas aplicaciones móviles han sufrido explotaciones, la cantidad de descargas acumuladas indica que potencialmente están en riesgo los datos de millones de usuarios que quizás no tienen idea del peligro subyacente.
Vincent Weafer, vicepresidente senior de McAfee Labs considera que la confianza digital es fundamental cuando los dispositivos móviles se han vuelto herramientas esenciales para los hogares y las empresas de los usuarios. Después de todo, vivimos nuestras vidas cada vez más a través de dichos dispositivos y de las aplicaciones diseñadas para operar en ellos. Al respecto dice que los desarrolladores de aplicaciones móviles deben asumir una responsabilidad mayor a nivel de seguridad y protección.
