Hace ya casi dos meses que salió a la luz Heartbleed una vulnerabilidad grave que afecta a OpenSSL y que permitía a los atacantes robar datos importantes alojados en los servidores web. Lejos de esfumarse, ha vuelto ser utilizado para atacar y esta vez sus objetivos han sido los dispositivos Android.
Casi dos meses después de poner en jaque a Internet, Heartbleed sigue causando problemas. Según el investigador de seguridad portugués Luis Grangeia, la vulnerabilidad estaría siendo utilizada para crear nuevos tipos de ataques a través de redes WiFi. Apodada como Cupid, la nueva línea de ataques utiliza Heartbleed para atacar a través de redes WiFi, ya sea extrayendo datos de routers empresariales o utilizando un router malicioso para extraer datos de dispositivos Android que se conectan a estas redes. En cualquier caso, el atacante sería capaz de leer fragmentos de la memoria del dispositivo, lo que expone potencialmente las credenciales del usuario, los certificados de cliente o las claves privadas. Grangeia ha publicado una prueba de concepto del fallo e insta a los fabricantes y desarrolladores a actualizar los dispositivos.
Cualquier dispositivo Android 4.1.1 es vulnerable
El investigador cree que el daño podría ser más contenido que el realizado previamente con Heartbleed. Los objetivos más vulnerables con los routers basados en EAP que requieren un inicio de sesión individual y una contraseña, solución muy utilizada en redes LAN inalámbricas. En estos casos, un atacante podría utilizar Heartbleed para extraer una clave privada del router o del servidor de autenticación, saltándose las medidas de seguridad. Grangeia afirma que, afortunadamente el ataque solo podría dirigirse a los dispositivos que estuvieran dentro del alcance de la red WiFi, lo que limita el número de objetivos potenciales. De todas formas, una gran preocupación es que aquellos dispositivos que todavía ejecutan Android 4.1.1 Jelly Bean son vulnerables, y hasta el mes pasado había millones de dispositivos que siguen ejecutan esta versión del sistema operativo de Google. Por ejemplo, el atacante podría ofrecer una señal WiFi abierta y si un dispositivo vulnerable se conecta, aprovecharía para utilizar Heartbleed para extraer sus datos, por lo que como os solemos aconsejar, es recomendable no conectarse a redes WiFi abiertas sospechosas.
Más ataques de Heartbleed en los próximos años
Los investigadores de seguridad no son muy optimistas sobre el fin de los ataques con Heartbleed. Por ejemplo, Robert David Graham, fundador de Errata Security, estima que solo la mitad de los daños causados por la vulnerabilidad han sido solucionados y cree que Cupid podría ser el menor de los problemas, ya que “vamos a ver importantes hacks utilizando Heartbleed durante los próximos años”. A pesar de que los servidores más importantes han sido parcheados, los investigadores siguen descubriendo más ataques que persiguen objetivos menos evidentes. Los servicios que utilizan OpenSSL y TLS fueron los grandes objetivos, pero no los únicos. Según Steve Bellovin, profesor de la Universidad de Columbia, “cualquier implementación no parcheada está en riesgo”. La mayoría de los sistemas modernos se han actualizado para no ser vulnerables, pero ahora la preocupación está en que otros puntos de acceso siguen sin estar parcheados.