Numerosas aplicaciones disponibles en la Google Play Store, que han registrado ya unos 150 millones de descargas, son vulnerables al fallo de seguridad Heartbleed, detectado hace varias semanas en el utilizadísimo protocolo de seguridad OpenSSL.
Los investigadores Yulong Zhang, Hui Xue y Tao Wei han desvelado los resultados de un estudio, en el que han analizado más de 50.000 de las aplicaciones que pueden descargarse del Play Store, y se han encontrado con que la mayoría de las afectadas son juegos. «No existe mucha información valiosa en las aplicaciones de juego», señalan los autores del informe, «pero los hackers pueden aprovechar la conexión de estas apps con las redes sociales del usuario para secuestrar sus perfiles en éstas».
Aunque Heartbleed solo afecta a las versiones 4.1.0 y 4.1.1. de Android, lo cierto es que este sistema operativo permite que las aplicaciones desarrolladas para él utilicen bibliotecas nativas de contenidos en las que pueden existir vulnerabilidades a este fallo de seguridad.
A partir de dichas vulnerabilidades, los hackers, señalan Zhang, Xue y Wei, que explican que también la han encontrado en varias aplicaciones de ofimática, «pueden secuestrar el tráfico de la red, redirigir la aplicación a un servidor maligno y robar contenidos y datos personales de la memoria de los dispositivos móviles».
Además, el informe señala que entre las 17 aplicaciones catalogadas en Google Play como «detectores de Heartbleed» solo 6 analizan en su búsqueda de vulnerabilidades el resto de apps que el usuario haya descargado en su dispositivo. De ellas, dos no detectaron como vulnerables las aplicaciones que Zhang, Xue y Wei ya habían clasificado como peligrosas. Los investigadores ponen a los usuarios en guardia ante estos supuestos detectores y señalan que muchos de ellos no funcionan más que como meras fuentes de adware.
Heartbleed fue descubierto a principios de abril por investigadores de Google y de la firma de seguridad Codenomicon, y levantó ampollas entre la comunidad de internautas, que descubrió entonces que el candado que aparecía, tranquilizador, junto a la barra de direcciones de su navegador ya no era garantía de seguridad. Llamada así porque tiene que ver con un fallo que se produce durante la función Heartbeat del protocolo OpenSSL, se calcula que Heartbleed podría haber afectado a alrededor de dos tercios de todas las webs del planeta durante los dos últimos años.
Los hackers pueden aprovechar esta vulnerabilidad para acceder a datos personales de los usuarios como mensajes de correo electrónico, credenciales bancarias y contraseñas, así como para redirigirlos a webs maliciosas y a «spam». Algunos medios han publicado que la seguridad estadounidense conocía la existencia de Heartbleed desde hace tiempo, pero no informó a la población porque la vulnerabilidad le resultaba útil para obtener datos de los ciudadanos.