segunda-feira, 14 de abril de 2014

IDG Now: Heartbleed afeta dispositivos móveis e internet banking


Cerca de 390 mil apps do Google Play e 1,3 mil apps conectados a servidores vulneráveis foram encontrados. Entre eles estão bancos, pagamentos online e e-commerce.

A gravidade do bug Heartbleed está dando trabalho para inúmeros sites e servidores. E, de acordo com a empresa de segurança Trend Micro, dispositivos móveis também foram afetados pela ameaça.

A empresa afirma que smartphones são tão vulneráveis ​​ao bug Heartbleed quanto sites. Isso porque os aplicativos se conectam a servidores e serviços web para completar várias funções, como o os apps de bancos e lojas online, por exemplo, que permitem fazer pagamentos via celular.

De acordo com o estudo da empresa, cerca de 390 mil aplicativos do Google Play e cerca de 1,3 mil apps conectados a servidores vulneráveis foram encontrados. Entre eles estão 15 aplicativos relacionados a bancos, 39 a pagamentos online e 10 a compras online. Também foram identificados problemas em apps de uso diário como mensagens instantâneas e de saúde.

Sites afetados

Um teste realizado pelo serviço de web-hosting compartilhado Github mostrou que mais de 600 dos principais 10 mil sites da web (com base em rankings do Alexa) eram vulneráveis, incluindo Yahoo, Flickr, OkCupid e Rolling Stone.

Um levantamento feito pelo Top Level Domain (TLD) mostra ainda que os domínios com maior sites afetados foram da Coreia (.kr) e Japão (.jp), com cerca de 5% do total. Os menos afetados foram os de Porto Rico (.pr) e da França (.fr).

Proteção para usuários de Internet banking

De acordo com a empresa de segurança Vasco Data Security, o Heartbleed faz com que dados sensíveis trocados com seus bancos via Internet possam ter sido comprometidos. Por esse motivo, a primeira coisa a se fazer é trocar as senhas, uma vez que elas podem ter sido comprometidas. 

Vale lembrar que isto só deve ser feito após o banco ter corrigido a falha no OpenSSL e expedido novas chaves privadas e novos certificados, pois de outro modo também as novas senhas podem ser acessadas indevidamente no futuro.

Caso a sua instituição ainda não tenha corrigido o problema, então não há muito o que fazer por enquanto, de acordo com a Trend Micro. A recomendação, por ora, é deixar de lado as compras online e também as operações financeiras por um tempo, incluindo as atividades bancárias, até que os desenvolvedores de aplicativos liberem uma atualização que esteja livre dessa vulnerabilidade.

Já os usuários que fazem seus acessos por senhas de uso único não precisam se preocupar com o comprometimento de suas informações. A natureza efêmera desse sistema assegura que a senha só pode ser utilizada por um curto período de tempo, não sendo aproveitadas pelo bug, segundo a Vasco Data Security.

Os bancos, por sua vez, devem, em primeiro lugar, verificar se as suas aplicações de e-banking empregam a versão com falha do OpenSSL. As versões Open SSL 1.0.1 até a 1.0.1f foram afetadas. Nesse caso, elas devem imediatamente atualizar seus servidores com a versão mais recente.

Em segundo lugar, elas devem assumir que as suas chaves privadas SSL/TLS podem estar comprometidas no caso de usaram versões afetadas do Open SSL. Além disso, as instituições financeiras devem ser cautelosas e substituir suas chaves existentes e os seus certificados por novos.

Por fim, devem verificar se dados sensíveis, como senhas de acesso, trocadas com os usuários do e-banking foram comprometidos. Em caso positivo, deve ser promovida a renovação dessas informações o mais rapidamente possível.

Nenhum comentário:

Postar um comentário

deixe aqui seu comentário