Expertos en seguridad han advertido que 2 mil aplicaciones de iOS y Android siguen siendo vulnerables a FREAK, quince días después de que la vulnerabilidad fue descubierta por primera vez, exponiendo a miles de millones de usuarios a pérdida de datos.

Investigadores de FireEye escanearon 10,985 aplicaciones en Google Play para dispositivos Android con más de un millón de descargas cada una; encontraron que 1,228 (11,2%) siguen siendo vulnerables a FREAK.

Estas aplicaciones han sido descargadas más de 6.3 mil millones veces, dijeron en un blog.

Cuando se trata de iOS, 771 de 14,079 (5.5%) aplicaciones populares se vieron afectadas, aunque la mayoría de ellas sólo en versiones del sistema operativo anterior a la 8.2. Sólo siete de ellas siguen siendo vulnerables en el nuevo sistema operativo, dijo FireEye.

Cabe señalar que el proveedor de seguridad llevó a cabo las pruebas el 10 de marzo, por lo que el número de aplicaciones afectadas pudo haber disminuido para estas fechas.

"FREAK es a la vez una vulnerabilidad de plataforma y una vulnerabilidad de aplicación, ya que iOS y Android pueden contener versiones vulnerables de la biblioteca OpenSSL por sí mismos", explicó FireEye. "Incluso después que las empresas parcharan dispositivos Android y iOS, dichas aplicaciones siguen siendo vulnerables a FREAK al conectarse a servidores que aceptan la suite de cifrado RSA_EXPORT."

Las aplicaciones en la categoría "Foto y vídeo" parecen ser las más afectadas, seguidas de "Estilo de vida", "Redes Sociales", "Finanzas" y "Salud y Forma Física."

FireEye indicó que un atacante podría aprovechar FREAK a través de una aplicación comercial vulnerable para robar credenciales de inicio de sesión y detalles de tarjetas de crédito, por ejemplo. Datos personales, médicos y financieros, entre otros, están potencialmente en riesgo.

"Las aplicaciones móviles se han convertido en objetivos muy valiosos para los atacantes," concluyó FireEye. "El ataque FREAK plantea una grave amenaza para la seguridad y la privacidad de las aplicaciones móviles. Recomendamos a los desarrolladores de aplicaciones y a los administradores de sitios web solucionar este problema lo más pronto posible."

FREAK fue descubierto por primera vez el 3 de marzo. Aunque el ataque está lejos de ser sencillo, fue parchado con rapidez por Apple, Google y Microsoft.

Para realizar el ataque, se requiere que el atacante tenga acceso al tráfico que fluye entre un cliente y el servidor afectado. Si logra lanzar un MITM exitoso, podría inyectar código obligando a ambas partes a utilizar una clave criptográfica débil de 512 bits, que puede ser rota fácilmente.

Después de eso, las contraseñas y otra información personal están expuestas al atacante, lo que permitiría robar o lanzar ataques adicionales contra el sitio objetivo.

Jason Steer, director estratega de seguridad EMEA en FireEye, argumentó que FREAK no es difícil de solucionar para los desarrolladores, pero el desconocimiento de la falla puede ser un problema.