Heartbleed es uno de los mayores fallos que ha comprometido la mayor parte de Internet. Este fallo generado en los módulos OpenSSL utilizados para conexiones seguras permitía a un servidor facilitar información sobre los datos residuales de su memoria RAM a cualquier usuario que lo solicitara mediante una cadena de comandos previamente modificada.
Millones de páginas web, servidores y aplicaciones se vieron afectados por esta vulnerabilidad y aunque los desarrolladores de OpenSSL no tardaron en actualizar sus módulos, la tarea final para actualizar las aplicaciones y volver a garantizar la máxima seguridad posible recaía sobre los desarrolladores y administradores.
Aunque ya se han actualizado la mayoría de los servidores y de las aplicaciones vulnerables, es posible que aún se pueda comprometer nuestra seguridad utilizando versiones de aplicaciones obsoletas o abandonadas que no hayan actualizado los módulos correspondientes. Comprobar estas aplicaciones puede ser una tarea bastante tediosa si hay que hacerlo una a una, sin embargo, los usuarios del sistema operativo de Google, Android, pueden hacerlo fácilmente con Bluebox Heartbleed Scanner.
Esta aplicación se distribuye de forma totalmente gratuita desde la tienda de aplicaciones de Google, la Play Store.
Una vez descargada e instalada en nuestro dispositivo la ejecutamos y comenzará a analizar el sistema.
En primer lugar nos mostrará si el sistema operativo completo está protegido frente a esta vulnerabilidad y, a continuación, analizará una a una todas las aplicaciones instaladas en busca de las que sean vulnerables.
Como podemos ver en la imagen anterior, el programa nos mostrará todas las aplicaciones que utilizan OpenSSL para establecer sus conexiones seguras, así como la versión del módulo. En el caso de utilizar una versión actualizada y no vulnerable nos lo indicará mediante el color verde. Si estamos utilizando una aplicación vulnerable ante Heartbleed veremos una cruz roja con los datos de dicha aplicación.
En caso de tener alguna aplicación que aún esté afectada por este fallo de seguridad debemos optar por cualquiera de las siguientes recomendaciones:
- Bloquear todas las conexiones a Internet mediante un firewall para Android.
- Desinstalar la aplicación.
- Actualizarla (en el caso de no tener la última versión instalada).
- Contactar con el desarrollador para pedir una actualización de seguridad lo antes posible
Heartbleed ha supuesto un duro golpe para la integridad de Internet y aún pasarán varios meses hasta que la vulnerabilidad sea solucionada por completo de todas las aplicaciones y de todos los módulos OpenSSL. De igual forma, algunas empresas como Google están trabajando en alternativas con un mayor mantenimiento y una mayor seguridad como BoringSSL para ofrecer alternativas reales a OpenSSL para todos aquellos desarrolladores que las quieran implementar.
¿Estás totalmente protegido de Heartbleed?