Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/11/2014
El grave fallo de los USB solo afecta al 50%, pero es imposible saber a cuáles
El pasado verano saltó la noticia acerca de una grave vulnerabilidad en los dispositivos USB que podía provocar la instalación en el ordenador del malware badUSB, lo que permitía que un pirata informático pudiera controlar el equipo de forma remota.
El alcance de este problema tan peligroso al ser indetectable para el usuario, era de gigantescas proporciones ya que afectaba tanto a ordenadores como a discos duros, periféricos e incluso móviles.
Uno de los descubridores de la mayor vulnerabilidad de la historia para los USB, el hacker Karsten Kohl, ha asegurado hoy en Tokyo en el marco de la conferencia PacSec sobre seguridad informática, que este fallo afectaría solo a la mitad de los dispositivos USB del mundo. Lo malo es que en estos momentos resulta imposible para el usuario determinar en cuales en concreto. Según una investigación llevada a cabo por Kohl junto con Sascha Krissler, el otro descubridor del problema de badUSB, en la que se han analizado los chips de las unidades USB de los principales fabricantes, es imposible ofrecer al consumidor una lista de productos que estarían comprometidos.
Lo cierto es que saber si un chip montado en una unidad USB es vulnerable sí que es posible, y es así como Kohl y Krissler han llegado a las conclusiones de su estudio, pero según aseguran que lo peor es que no podemos determinar de antemano si el USB que vayamos a adquirir puede estar expuesto ya que la información sobre el chip montado en ese lote en concreto no es fácil de cotejar y los resultados obtenidos en las pruebas han sido dispares debido a las múltiples opciones escogidas por cada marca.
Los fabricantes de USB no informan sobre qué chip ha sido instalado
El problema de badUSB es que se podía utilizar un dispositivo USB como puerta de entrada para instalar el código malicioso en el sistema y controlar por ejemplo un teclado USB para manipularlo a la hora de introducir comandos para el equipo suplantando al usuario. Los hackers han analizado los chips de las principales marcas: Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress y Microchip y mientras en algunos casos se podía reprogramar el firmware, en otros el dispositivo resistía el ataque. Sin ir más lejos, Kingston utiliza chips de una docena de fabricantes en sus productos, montando incluso para el mismo modelo diferentes opciones.
Para Kohl, la solución pasa porque las compañías que comercializan los dispositivos USB, informen en la etiqueta del producto acerca de que chip ha sido instalado para esa unidad en concreto, de esta forma los usuarios pueden saber de antemano si se exponen a badUSB. Se espera que las compañías tomen medidas para paliar los efectos de badUSB y ayudar a erradicar el problema de una vez por todas.