Oito em dez aplicativos ainda estão vulneráveis ao Heartbleed, diz estudo

A falha de segurança Heartbleed, considerada “gravíssima” por especialistas em segurança, ainda afeta oito entre dez aplicativos móveis em dispositivos Android, segundo um levantamento da Trend Micro.

Em um monitoramento feito com cerca de 7.000 aplicativos que estavam conectados a servidores vulneráveis ao Heartbleed, a empresa especializada em segurança verificou que 85,7% ainda eram afetados pela brecha.

De acordo com a Trend Micro, grande parte das aplicações é de estilo de vida: com elas é possível pedir comida, itens de supermercado, equipamentos, leitura de livros, cupons, roupas, móveis etc. Se algum cibercriminoso atacar os servidores vulneráveis desses ‘apps’, poderá roubar dados do usuário como endereço da residência, número cartão de crédito, dados de login e senha, entre outros.

Vale destacar, no entanto, que o Heartbleed afeta apenas a versão Android 4.1.1. Aplicativos que usem a certificação de segurança gerada pelo software OpenSSL em dispositivos dessa versão de Android é que estão vulneráveis a ataques cibercriminosos.

Falha “gravíssima”

A Heartbleed é uma falha na autenticação de segurança de sites que usam o software OpenSSL considerada “gravíssima” por especialistas de segurança.

Quando uma pessoa quer acessar um site, por exemplo, fazendo o login, o seu computador “conversa” com o servidor daquele serviço. Essa “conversa” é secreta e ocorre em códigos (conhecido como criptografia) para que ninguém saiba a senha digitada, nem os dados trocados depois desse acesso. A “conversa”, porém, deixa uma memória.

Cibercriminosos podiam ter acesso a essa memória, podendo interceptar os dados de logins, senhas, dados confidenciais, formulários enviados, números de cartão de crédito, entre outras informações.

O mais grave é que eles também poderiam tentar obter a chave privada da criptografia (o “código mestre” para decodificar quaisquer comunicações entre um computador e um servidor). Estima-se que dois terços dos sites no mundo foram afetados pela brecha de segurança, a qual permaneceu sem ser notada por cerca de dois anos.

Usuários têm pouco a fazer para se proteger contra a falha. Isso porque os sites é que precisam corrigi-la em seus servidores de autenticação. Porém, para evitar danos maiores, especialistas em segurança recomendam que as pessoas identifiquem se os sites usam o protocolo OpenSSL e mudem suas senhas.