A descoberta do bug Heartbleed deu um susto no mundo há alguma semanas. Essa vulnerabilidade, existente há anos, torna possível a captura de dados pessoais na troca de comunicações tidas como seguras entre dispositivos de usuários finais e servidores na nuvem. Não apenas computadores e sites estariam comprometidos, mas também aplicativos móveis.
Na semana passada a empresa de segurança Trend Micro informou que mais de 6 mil apps na Google Play estariam vulneráveis ao Heartbleed, mas não citou nomes. Agora, a companhia lançou um app chamando "Heartbleed Detector" que se propõe a escanear os aplicativos instalados na memória de um smartphone e apontar quais deles estão vulneráveis. No teste feito por MOBILE TIME, o app levou poucos segundos para escanear os 98 aplicativos instalados em uma Galaxy S4. Apenas um foi apontado como vulnerável: o Lifelock, justamente um dos apps mais sensíveis em questão de segurança pessoal, pois armazena dados de cartões de crédito e documentos pessoais. O Lifelock, inclusive, fora resenhado e elogiado nesta mesma coluna no mês passado. Segundo o diagnóstico da Trend Micro, o Lifelock acessa um serviço na nuvem que utiliza uma versão do OpenSSL vulnerável ao Heartbleed. O "Heartbleed Detector" oferece a opção de desinstalação rápida dos apps identificados. No blog oficial do Lifelock, contudo, há um artigo de 18 de abril sobre o Heartbleed e acusando diversas ferramentas de detecção de serem imprecisas – sem citar diretamente o app da Trend Micro.
Aproveito para compartilhar a lista de alguns dos outros apps que tenho e que não estão vulneráveis: Banco do Brasil, Caixa Econômica, Facebook, WhatsApp, Waze, Rdio, Evernote, Twitter, Foursquare, Instagram, Skype e Linkedin.
É difícil ter certeza do quão precisa é essa identificação e do real perigo que corremos com o Heartbleed em apps móveis. Mas, por curiosidade, vale a pena baixar, testar e, na dúvida, questionar o desenvolvedor dos apps que forem identificados como vulneráveis.