Cupid: Heartbleed colpisce router WiFi e Android 4.1.1.

Il bug Heartbleed, a quasi due mesi dalla sua scoperta, rappresenta ancora una minaccia specie in una nuova forma chiamata "Cupid" che può compromettere, con le stesse dinamiche del bug originale, router WiFi e dispositivi mobile basati su determinate versioni del sistema operativo Android.

Le informazioni disponibili sono state rese note dal ricercatore di sicurezza Luis Grangeia: tramite Cupid, il bug Heartbleed può essere sfruttato per accedere a parte del contenuto della memoria presente in un router, con ovviamente il rischio di venire a conoscenza di credenziali di accesso, certificati o chiavi private.

Non è chiaro quale possa essere la portata di questa vulnerabilità, ma il danno dovrebbe essere verosimilmente più contenuto rispetto a quanto accaduto con Heartbleed. I bersagli più vulnerabili sono i router basati su EAP e che usano un tunnel TLS come parte del processo di autenticazione. Si tratta di una una soluzione spesso utilizzata per le reti wireless. In questi casi un attaccante può sfruttare la vulnerabilità per ottenere una chiave privata dal router o dal server di autenticazione, scavalcando qualsiasi misura di sicurezza.

L'attacco può avere come bersaglio solamente dispositivi entro la portata utile della rete WiFi. "E' una particolare variante che potrebbe essere più lenta da risolvere, ma non dovrebbe comunque essere diffusa come il bug originale, dal momento che l'universo di dispositivi vulnerabili è più piccolo".

Altro motivo di preoccupazione sono i dispositivi Android che ancora usano la versione 4.1.1 di Jelly Bean (ce ne sono in circolazione svariati milioni), che è noto essere vulnerabile al problema. In un attacco router-based, per esempio, l'attaccante potrebbe creare una rete "esca" e quindi operare un attacco Heartbleed per recuperare dati da qualsiasi dispositivo, connesso alla rete, affetto dalla vulnerabilità.