Heartbleed colpisce i router WiFi e Android

Sette settimane dopo la diffusione delle prime notizie sul bug del protocollo OpenSSL, un ricercatore portoghese ha scoperto che la stessa vulnerabilità può essere sfruttata per eseguire attacchi contro i router WiFi e i dispositivi Android. Per mostrare l’esistenza del bug, Luis Grangeia ha realizzato un proof-of-concept, denominato Cupid. Invece della memoria dei server protetti da una versione vulnerabile del software, questa volta il target è la memoria dei router enterprise. Usando un router infetto è possibile anche rubare i dati personali conservati nella memoria di smartphone e tablet Android.

Cupid permette di sfruttare il bug Heartbleed per intercettare i dati che transitano sulle reti wireless, in particolare le connessioni WiFi che usano un metodo di autenticazione EAP (Extensible Authentication Protocol) basato su TLS. Un malintenzionato potrebbe così accedere alla memoria dei router e sottrarre credenziali, certificati e chiavi private, bypassando qualsiasi protezione di sicurezza. Grangeia non ha eseguito abbastanza test per stimare il numero di router vulnerabili, ma sembra che questa variante dell’attacco non possa avere una diffusione ampia, come accaduto all’inizio di aprile.

In tutto il mondo ci sono però milioni di dispositivi che eseguono Android 4.1.1. Questa versione del sistema operativo è vulnerabile. È possibile infatti creare un rete WiFi aperta e sfruttare un attacco Heartbleed per rubare i dati memorizzati su qualsiasi dispositivo connesso. Il ricercatore suggerisce agli utenti e ai produttori di aggiornare al più presto i loro device.

OpenSSL e TLS sono protocolli molto utilizzati. Ciò significa che il numero di potenziali target è piuttosto elevato. Sebbene molti siti siano ora immuni, dopo aver installato la patch, il rischio di futuri attacchi non è stato eliminato. Gli esperti di sicurezza sostengono che Heartbleed colpirà ancora per molti anni.