iOS 8 y Android Lollipop aún Siguen Siendo Vulnerables a FREAK Attack
Todavía existen cientos de aplicaciones, tanto de Android Lollipop como de iOS 8, que siguen siendo vulnerables a ataques de FREAK Attack, comprometiendo los datos cifrados de ambos sistemas operativos móviles, veamos porqué.
Cientos de aplicaciones aún son vulnerables a FREAK Attack
Son muchas las aplicaciones y se cuentan por cientos de ellas, que aún no han sido parcheadas para que dejen de ser vulnerables a FREAK Attack.
Son de muchos tipos las aplicaciones de iOS 8 y Android Lollipo que aún no han sido parcheadas, desde apps de finanzas, comunicación, compras, negocios y medicina, según ha dicho la empresa de seguridad informática FireEye en su blog este pasado martes.
Estos resultados ponen en evidencia el hecho de que algunos desarrolladores no se dan la suficiente prisa en parchear sus aplicaciones para evitar estas vulnerabilidades, lo que pone en peligro a los usuarios que usan sus aplicaciones y que en muchos casos piensan que ya están prevenidos de este tipo de ataques.
¿Qué es FREAK Attack?
Ya te hemos hablado de este tipo de hackeo en otra ocasión, pero nunca está de más recordar en qué consiste y conocerlo bien. FREAK Attack es un defecto que puede permitir una conexión SSL/TLS con una clave de cifrado de tan solo 512bits, mucho más débil que si fuera de 2048, que son los bits que se utilizan hoy en día.
Este defecto es un legado que viene desde la década de los 90 y que forma parte de las restricciones de la exportación del gobierno de los Estados Unidos de por aquel entonces. El gobierno prohibía la venta de productos de software en el extranjero con claves de cifrado demasiado fuertes y muchos de esos productos pueden ser forzados, incluso hoy en día, a utilizar claves de cifrado muchos más débiles.FREAK Attack se vale de estas claves de cifrado más débiles y de 512 Bits, para el robo de información personal de los dispositivos que aún cuentan con estas vulnerabilidades en sus aplicaciones y que se cuentan por cientos.
Apple y Google ya han parcheado sus respectivos sistemas operativos, iOS 8 y Android Lollipop, para evitar este tipo de ataques, pero aún son muchas las aplicaciones que no se han actualizado para evitar este fallo y muchas de ellas son utilizadas a diario por miles de usuarios sin saberlo.
“FREAK Attack plantea una gran amenaza para la seguridad y la privacidad de las aplicaciones móviles. Animamos a los desarrolladores de apps y los administradores de sitios web a que solucionen este problema lo más pronto posible.” Dice FireEye.
Un análisis de las tiendas de Android y iOS revela datos concluyentes
FireEye ha analizado 10.985 aplicaciones en la tienda Google Play de Android, encontrando 1.228 apps que aún son vulnerables y que deberían ser actualizadas en los próximos días. Además muchas de estas aplicaciones vulnerables se han descargado más de un millón de veces, dato bastante preocupante.
En el caso de iOS la cifra es mucho menor, de las 14.079 aplicaciones que se han analizado en la App Store, 771 eran vulnerables a FREAK Attack, pero solo si se ejecutan en versiones anteriores a iOS 8.2. En el caso de tener iOS 8.2 instalado, sólo son siete las aplicaciones que aún son vulnerables, convirtiendo a esta última versión del sistema operativo de Apple, en uno de los sistemas móviles más seguros y menos vulnerables.
Al parecer aún seguimos siendo vulnerables a FREAK Attack, en mayor medida si contamos con un sistema operativo Android y como hemos conocido gracias a Macworld.
¿Has actualizado ya tu iPhone o iPad a iOS 8.2? Creemos que es una de las mejores medidas para contraatacar FREAK Attack a día de hoy. Puedes dejarnos tus impresiones en los comentarios.