Heartbleed bug esiste in OpenSSL, un'implementazione comune del protocollo SSL utilizzato per proteggere le comunicazioni su Internet. Non importa quale browser o dispositivo si sta utilizzando, se ci si connette, o interagendo con siti e servizi che utilizzano una versione vulnerabile di OpenSSL, eventuali dati trasmessi sono a rischio di compromissione. La scoperta della falla ha reso urgente un cambio di password che però potrebbe non essere sufficiente.
La maggior parte dei siti Web sono stati rapidi nel rispondere a questa notizia, ma dato che l'exploit è esistito per oltre 2 anni, non è chiaro se tutti gli utenti malintenzionati lo abbiano scoperto autonomamente e siano rimasti in silenzio per rubare i dati degli utenti. Questo è grave, sebbene la patch per Heartbleed è stata resa disponibile fin da quando la vulnerabilità è stata divulgata pubblicamente, e la maggior parte dei siti hanno già adottato le opportune misure correttive.
Ma i restanti siti e dispositivi consumer orientati Internet-of-things che si basano sul protocollo OpenSSL e non hanno ancora provveduto alla correzione dell'Heartbleed bug sono a maggior rischio, dato che la falla è pubblica e gli aggressori generalmente si concentrano su obiettivi facili ad alto valore, come le applicazioni mobili. Al CM Security Research Lab, sono state identificate oltre 1.700 applicazioni che sono vulnerabili a questo difetto a partire dal 19 aprile 2014.
Le app sono a rischio, dato che molte di esse comunicano con i server Web per convalidare le informazioni degli account e trasferire i dati. Nei giorni scorsi, la stessa Google Security ha comunicato che i device con installata la versione Android 4.1.1 sono potenzialmente vulnerabili ad un attacco hacker, che potrebbe causare la perdita di password, messaggi ed altre informazioni degli utenti. Google sta inviando le patch per questo problema ai suoi partner Android.
Anche se Heartbleed è principalmente una vulnerabilità Web, alcune delle app comunicano con i server via HTTP/HTTPS utilizzando OpenSSL, e quindi possono essere colpite dal bug. La società di sicurezza CloudFlare ha dimostrato che sfruttando la falla è possibile rubare i certificati di sicurezza che stabiliscono l'autenticità di un sito. Intanto, è stato arrestato il primo hacker che avrebbe approfittato del bug per rubare dati all'agenzia delle entrate canadese.
Per questo KS Mobile, una sussidiaria di Kingsoft Internet Security Software e nota per la produzione di Cleanmaster, tool gratuito per l'ottimizzazione dei dispositivi Android, nonché di Battery Doctor, offre a tutti gli utenti Heartbleed Scanner, disponibile gratuitamente nel Google Play store. Heartbleed Scanner, che ha ricevuto oltre 1 milione di download in una settimana, dirà se le app installate sono affette dalla vulnerabilità con possibile rischio per la sicurezza.
Via: KS Mobile
Nessun commento:
Posta un commento