Las aplicaciones móviles permanecen vulnerables durante meses

Intel Security ha publicado un informe que pone de manifiesto la dejadez de los desarrolladores de aplicaciones móviles a la hora de parchear vulnerabilidades críticas que potencialmente pueden impactar en millones de usuarios móviles.

Concretamente, investigadores de McAfee Labs encontraron que los proveedores de apps son excesivamente lentos al solucionar las vulnerabilidades SSL más básicas, las relacionadas con la validación incorrecta de la cadena de certificados digitales. En septiembre de 2014, el Equipo de Respuesta a Emergencias Informáticas (CERT) de la Universidad Carnegie Mellon publicó una lista de las aplicaciones móviles que presentan esta debilidad, incluyendo aplicaciones con millones de descargas.

El pasado mes de enero, McAfee Labs probó las 25 apps más populares de la lista de aplicaciones móviles vulnerables del CERT y encontró que 18 aún no habían sido parcheadas a pesar de la divulgación pública y la notificación al proveedor. Los investigadores simularon la realización de ataques man-in-the-middle que interceptaron exitosamente información compartida durante sesiones SSL supuestamente seguras, información que incluye los nombres de usuario y las contraseñas y, en algunos casos, las credenciales de acceso a redes sociales y a servicios de terceros.

Aunque no hay evidencia de que las vulnerabilidades de estas aplicaciones móviles hayan sido explotadas, el volumen acumulado de descargas de estas aplicaciones ronda los cientos de millones. Dadas estas cifras, los hallazgos de McAfee Labs sugieren que la elección de los desarrolladores de aplicaciones móviles de no parchear las vulnerabilidades SSL pone a millones de usuarios en riesgo de convertirse en el blanco de ataques.