Risco do Heartbleed em apps móveis é menor do que o alardeado, diz especialista

Nas últimas semanas, muito foi dito a respeito do risco de informações privadas terem sido capturadas por hackers explorando a vulnerabilidade conhecida como Heartbleed, que afetaria tanto sites na web quanto apps móveis. Em entrevista por email para MOBILE TIME, o gerente sênior de marketing da Palo Alto Networks e especialista em segurança da informação Brian Tokuyoshi, descreve um cenário menos alarmista do que o traçado por outras empresas.

Ele explica que os aplicativos móveis são desenvolvidos para se conectarem apenas com servidores específicos da empresa que os programou, o que diminui sensivelmente o risco de acessarem sites hostis, ao contrário de um navegador web comum, que está aberto a toda a Internet. No caso dos apps, portanto, o problema está do lado dos servidores: estes é que precisam ser verificados se estão vulneráveis ao Heartbleed. O especialista novamente acalma o público: diz que tem visto uma resposta rápida por parte das empresas em corrigir o problema em seus servidores.

No que diz respeito aos sistemas operacionais em si, o maior risco está nos smartphones que usam a versão 4.1.1 do Android, a única desse sistema operacional que está vulnerável ao Heartbleed. Todas as outras, assim como o iOS, não correm perigo. No caso do sistema operacional, a correção não dependeria apenas do Google, mas também do fabricante, pois na maioria dos smartphones Android é usada uma versão do OS customizada pela marca do aparelho. É justamente o fabricante quem controla as atualizações do sistema operacional em sua base de terminais, para garantir o bom funcionamento da sua versão personalizada. Muitas vezes, contudo, especialmente para modelos antigos, os fabricantes demoram ou nem sequer oferecem atualizações do OS, forçando o consumidor a comprar um novo smartphone se quiser se manter atualizado nesse aspecto.

Diante dessa avaliação, não é necessário trocar as senhas de nenhum serviço? Tokuyoshi não chega a ser tão otimista. É tecnicamente impossível saber se alguém conseguiu acessar seus dados pessoais enquanto o Heartbleed era desconhecido do grande público. Esse hacker poderia usar as informações coletadas mais tarde, mesmo depois de corrigidas as falhas. Por via das dúvidas, não apenas por causa do Heartbleed mas também por qualquer outro bug ou vulnerabilidade que existam por aí, é recomendada a troca periódica das senhas dos serviços considerados mais críticos.