Trend Micro aponta que grande parte dos aplicativos é da categoria ‘estilo de vida’ e dados como endereço e cartão de crédito dos usuários podem ser expostos
Empresa continua a monitorar o impacto da vulnerabilidade Heartbleed em aplicativos para dispositivos móveis. A última verificação realizada apontou que cerca de 6 mil – 85,7% – dos 7 mil aplicativos que estavam conectados a servidores vulneráveis ao Heartbleed ainda estão sendo afetados (confira os tipos de aplicativos na imagem abaixo).
As categorias de aplicativos monitoradas foram definidas a partir daqueles que são considerados potencialmente sensíveis na medida em que podem armazenar informações pessoais dos usuários no servidor. Grande parte das aplicações é de estilo de vida – com elas, é possível pedir comida, itens de supermercado, equipamentos, leitura de livros, cupons, roupas, móveis etc. Isso significa que se um usuário pedir comida ou suprimentos por meio de um desses aplicativos afetados, informações sobre seu pedido, inclusive credenciais de usuário, sobre o endereço de residência e até o número do cartão de crédito podem ser divulgados.
A Trend Micro já está desenvolvendo a criação de uma ferramenta para verificar a vulnerabilidade de aplicativos.
Biblioteca OpenSSL no Android 4.1.1 e em alguns aplicativos
A Trend Micro também alerta que, embora o problemático OpenSSL seja integrado ao sistema Android, apenas a versão Android 4.1.1 é afetada pela vulnerabilidade do Heartbleed. Para dispositivos com essa versão, qualquer aplicativo instalado com OpenSSL – usado para estabelecer conexões SSL/TLS – está possivelmente afetado e pode ser comprometido para obtenção de informações do usuário a partir da memória do dispositivo.
No entanto, mesmo que o dispositivo não esteja utilizando a versão afetada, ainda há a questão dos próprios aplicativos. Foram encontrados 273 no Google Play que são empacotados junto com a biblioteca autônoma OpenSSL afetada, o que significa que estes aplicativos podem ser comprometidos em qualquer dispositivo.
Nesta lista, estão os jogos mais populares do ano passado, alguns clientes VPN, um aplicativo de segurança, um popular leitor de vídeo, um aplicativo de mensagens instantâneas, um aplicativo VOIP de telefone e muitos outros. Muitos aplicativos são dos principais desenvolvedores e a vulnerabilidade foi encontrada também nas versões antigas de aplicativos do Google. Todos eles se conectam estaticamente com a biblioteca OpenSSL vulnerável (ver Figura 3 abaixo).
Saiba mais aqui.

