Un nuevo fallo de seguridad permite a hackers robar contraseñas y datos personales de los usuarios de iPhone y Android.
El nuevo fallo de seguridad ha sido denominado como Freak, y aunque es un término que nos recuerde a friki lo cierto es que estamos ante un tema bastante serio.
La nueva vulnerabilidad afecta tanto a dispositivos Mac, ya que el fallo afecta principalmente a Safari, y a Android. Es decir, estamos ante un fallo de seguridad que afecta tanto a iPhone, Android como a Mac.
El error es causado por el débil cifrado utilizado debido a la presión realizada por el gobierno de Estados Unidos para asegurar que la NSA pudiera ser capaz de decodificar las comunicaciones extranjeras. Es momento de reflexionar…sí, el fallo de seguridad ha sido causado porque la agencia de seguridad de los USA quería espiarte.
Sorprendente… pero cierto. Podríamos decir que vivíamos en una ilusión de seguridad. Gracias a dicho fallo los usuarios de Android, iPhone y Mac de todo el mundo han estado expuestos a un riesgo de seguridad desde los últimos 10 años.
El fallo permitía que tanto a la NSA, u otras de las muchas agencias de seguridad de otros países, como a piratas informáticos poder robar contraseñas y datos personales de miles por no decir millones de personas.
Para seguir en estado ojiplático os diremos que las leyes de Estados Unidos prohiben la exportación de dispositivos que contengan “un cifrado fuerte” fuera del país.
Los investigadores que han publicado su informe sobre SmackTLS, afirman que este defecto existían desde hace 10 años. En estos momentos tanto Google como Apple están tratando de solucionar esta vulnerabilidad…ahora.
Un grupo de criptógrafos en INRIA, Microsoft Research y IMDEA han descubierto algunas vulnerabilidades graves en OpenSSL que permitían ataques MiTM, Man in the Midle.
Cualquier usuario de Android, iPhone o Mac que haya visitado sitios web gubernamentales como Whitehouse.gov, NSA.gov y FBI.gov, u otros muchos sitios web se han expuesto a esta vulnerabilidad.
Los investigadores encontraron que el fallo obliga a los navegadores de estos sitios a aceptar un estándar de seguridad fácil de romper, lo que hace que el dispositivo sea vulnerable. Una vez que el dispositivo era vulnerable, podría ser secuestrado por delincuentes cibernéticos en cuestión de horas.
Este grave agujero en la seguridad del navegador web permite robar contraseñas y datos personales de las víctimas y abre las puertas a una mayor explotación con un ataque masivo.
El fallo de seguridad, que afecta al navegador web Safari de Apple presente tanto en iOS y Mac, así como navegador de web de serie de Google que podemos encontrar en Android, aunque debemos decir que dicho fallo no afecta ni a Google Chrome, ni sorprendentemente a Internet Explorer.
El fallo que fue reportado por primera vez por The Washington Post. Apple prepara una actualización del navegador web Safari para la próxima semana que debería solucionar el problema. Por su parte Google dijo que ya había proporcionado un parche para Android a los fabricantes de teléfonos inteligentes que corregía este fallo.
Sin embargo, el problema para los usuarios de Android que la mayoría de las veces tienen que esperar meses hasta que el fabricante de sus teléfonos se decidan a emitir el parche…y este llegaría sólo después de pasar por las manos de las operadoras, lo que añade un nuevo periodo de espera en el que el terminal es vulnerable.
Google también comentó que no va a proporcionar parches para Android 4.3 Jellybean y versiones por debajo, lo que deja en peligro a multitud de dispositivos que aún no han sido actualizados.
Saludos desde lo más profundo de los bytes.