Por desgracia, hoy nos toca hablar de seguridad, y no porque sean buenas noticias: se ha descubierto un nuevo bug en OpenSSL que permite a un atacante hacerse pasar por una página web segura.
Hoy no parece ser un buen día para la seguridad en Android: si no teníamos suficiente con marcas que intentan encasquetarnos sus soluciones de seguridad desde que el dispositivo sale de la caja, ahora nos llega la noticia de un nuevo fallo en OpenSSL que ya ha sido catalogado como crítico.
¿Cuál es el fallo en OpenSSL del que hablamos?
Según nos comentan los chicos de Ars Technica, este fallo del que hablamos está en el código de la librería OpenSSL, y en algunos casos permitiría a un atacante el hacerse pasar por una página web protegida por criptografía. El fallo en cuestión hace que la aplicación trate un certificado inválido como uno verídico, permitiendo que alguien que esté monitorizando la red pueda interceptar y modificar los datos de la conexión.
Como podéis comprender, estamos hablando de un fallo crítico que permite superar las medidas de seguridad de páginas web, servidores de correo electrónico y redes privadas virtuales (VPNs). Esta vulnerabilidad está en varias versiones de OpenSSL liberadas desde el 27 de enero, y ya se ha conseguido localizar la contribución al código en Github que ha podido causar todo este dolor de cabeza. En Omicrono tenéis más detalles acerca del fallo.
Un bug de OpenSSL permite hacerse pasar por cualquier web en Omicrono
¿Cómo nos afecta como usuarios de Android?
Por suerte, los navegadores web más populares no están afectados por el fallo: Chrome, Firefox, Internet Explorer y Safari para iOS utilizan métodos de validación que no se basan en OpenSSL. No existen indicaciones de que esas librerías alternativas puedan ser vulnerables, así que es muy poco probable que se pueda realizar un ataque contra esos navegadores.
Sin embargo, con Android sí que tenemos un problema, porque utiliza OpenSSL: la cuestión es que no sabemos qué versión está utilizando, por lo que no sabemos si Android es vulnerable, y el problema se agrava cuando conocemos el detalle de que muchos desarrolladores utilizan código propio para verificar los certificados SSL.
Como resultado a todo esto, nos podríamos encontrar con aplicaciones que son vulnerables aunque el propio sistema operativo no lo sea, y lo más probable es que los parches para las aplicaciones vulnerables tarden días y semanas en llegar. Este fallo, descubierto por un ingeniero de Google y un desarrollador de BoringSSL, puede causar varias desgracias si no se actúa a tiempo, en otras palabras. ¿Alguien ha dicho Heartbleed?
La solución temporal como usuarios es sencilla: fiarnos de los navegadores web hasta que recibamos una confirmación de que la aplicación es segura, dado que los navegadores no utilizan OpenSSL para verificar los certificados. Mientras, sólo nos queda esperar a que salgan los arreglos.