Si bien el daño de Heartbleed logró contenerse, los riesgos de seguridad de este bug de OpenSSL no se solucionaron por completo, pues más allá de los miles de servidores que aún son susceptibles, siguen surgiendo vulnerabilidades inesperadas. El especialista de seguridad digital, Luis Grangeia, descubrió que la falla también afecta a los dispositivos con Android 4.1.1, aunque sólo mediante puntos de acceso Wi-Fi.
Bajo el nombre Cupid, esta nueva técnica de ataque se basa en la misma vulnerabilidad de Heartbleed, pero su capacidad de acción está limitada al alcance de una red local. Es decir, el atacante roba información sensible del usuario sólo si está conectado directamente desde un router y no importa si hay de por medio un elevado nivel de seguridad, una vez que el dueño del dispositivo introduce su nombre de usuario y contraseña, el hacker gana acceso a todo lo que está activo en la RAM, incluyendo certificados, claves y fichas de contacto.
Grangeia dice que este tipo de ataque tiene menos impacto que la versión de Heartbleed que afectó servidores a gran escala, sin embargo, queda la posibilidad de que se use para dañar la estabilidad de las redes que ofrecen Wi-Fi gratuito, ya que el atacante puede conectarse a dicho acceso por medio de Internet, desde otra región del mundo.
La recomendación del especialista es que los administradores de redes locales actualicen el firmware de sus routers y que contacten a los proveedores de servicios de Internet, para investigar si su sistema es vulnerable. Para poner solución al problema, Grangeia publicó un parche genérico en su sitio de GitHub y explica que su empresa, SysValue, ofrece asesoría al respecto.
Deja tu comentario