Hace bien poco hablamos sobre esta vulneravilidad, Heartbleed, que afectaba principalmente a los servidores. Ya fue arreglada en su momento, pero la estela no parece terminar aquí. Ahora Cupid, un nuevo problema, ataca a redes inalámbricas y dispositivos Android.
El investigador de seguridad de SysValue, Luis Grangeia, hace bien poco ha presentado un nuevo tipo de vulnerabilidad, susceptible de ser atacado de una forma algo diferente a la que ya en su momento nos presentó Heartbleed. OpenSSL parece estar lleno de sorpresas.
Al parecer viene el resultado ha sido una librería que se basa en otras dos librerías ya existentes en el código de linux. Podremos encontrarlo en GitHub, y con suerte habrá colaboración en la búsqueda de posibles ataques para ser solucionados.
¿A quién puede afectar Cupid?
Principalmente este problema afecta a las conexiones TLS a través de EAP, este es un framework de autentificación que se usa mucho en conexiones inalámbricas y de punto a punto. Cualquier dispositivo que utilize OpenSSL para realizar conexiones EAP TLS se puede ver afectado por Cupid. Esto hace que cualquier tipo de red, incluso con dispositivos android, pueda verse comprometida.
En Android tienes que tener en cuenta que solo afecta a un par de versiones que son las que trabajan con esta librería, son la 4.1.0 y la 4.1.1.
¿Como puedo proteger mi dispositivo de Cupid?
La primera medida que puedes tomar es actualizar la versión del sistema, para que así se inutilize este bug, por otro lado deberías evitar conectarte a cualquier red desconocida, o que sea susceptible de aceptar conexiones de usuarios que desconozcas.
A pesar de ser una vulnerabilidad que afecta a la librería a través del kernel de linux, no está descartado que pueda afectar a cualquier otro tipo de dispositivo como impresoras, iphones, routers, etc.