Dos hackers publican un exploit basado en BadUSB para "presionar a los fabricantes"

Ricardo Cambre
Los investigadores de seguridad Karsten Nohl y Jakob Lell de SR Labs advertían hace dos meses de los peligros de compartir dispositivos USB, utilizando para ello un prototipo de malware denominado BadUSB. Debido a la importancia del problema y a la dificultad de lanzar un parche, los expertos solo han demostrado el uso de BadUSB a puerta cerrada en la conferencia Black Hat, decidiendo no publicar el exploit a la comunidad.

Ante el recelo de Nohl y Lell, los investigadores independientes Adam Caudill y Brandon Wilson aplicaron ingeniería inversa sobre los mismos firmwares USB investigados por SR Labs, consiguiendo un prototipo de malware con la misma funcionalidad que BadUSB. Aunque eso sí, esta vez publicando el código y la documentación del exploit en GitHub para cualquier interesado.

"Creemos que todo esto debería ser público. No se debería retener. Así que vamos a publicar todo lo que tenemos", explicó Caudill desde la conferencia DerbyCon. "Esto tiene como inspiración el hecho de que [SR Labs] no ha publicado su material. Si vas a probar que hay un error, necesitas publicar el material para que la gente se defienda ante ello".


Caudill comenta a Wired que la vulnerabilidad de los USB requiere una respuesta urgente por parte de los fabricantes, y de ahí la publicación del malware: "Si se va a arreglar, debe ser algo más que una charla en el Black Hat. […] Tienes que probar al mundo que es práctico, que cualquier persona lo puede hacer… Eso presiona a los fabricantes para arreglar el problema real".

El exploit homólogo a BadUSB permite reprogramar el firmware de ciertos dispositivos USB para realizar todo tipo de ataques, como introducir comandos de teclado u ocultar archivos a la vista del usuario. Los investigadores están trabajando en un nuevo exploit capaz de inyectar código malicioso en los archivos a medida que se copian desde una unidad flash USB, lo cual plantea unos índices de infección tan peligrosos que Caudill y Wilson siguen debatiendo si publicarlo o no.
Fuente: Wired
Sobre el autor » Ricardo Cambre

Conglomerado funcional de cine, videojuegos, diseño y marketing en forma humana. Criado a base de VHS de videoclub y cassettes de MSX. A veces hardcore, a veces indie, a veces casual y continuamente abierto a experiencias nuevas que dejen huella.

Más publicaciones de Ricardo Cambre »

Avatar de Ricardo Cambre
Síguelo en