Una 'start-up' de internet de las cosas ha detectado un
fallo en varios modelos comerciales que que pueden ser hackeados. Las empresas
ya han empezado a tomar medidas para solucionarlo
Algunos de los dongles informáticos (pequeños dispositivos que se conectan a otro para conferirle funciones adicionales), como los teclados y ratones inalámbricos, pueden ofrecer a los hackers una manera bastante sencilla de acceder en remoto y asumir el control de un dispositivo, según un nuevo informe de la start-up de internet de las cosas Bastille.
Bastille, con sede en Atlanta (EEUU), dice que ha determinado
que el diseño de teclados y ratones inalámbricos sin Bluetooth de siete
empresas (incluidas Logitech, Dell y Lenovo) incluye un fallo de seguridad que
facilita que los hackers accedan al dongle, que estos dispositivos utilizan
para interactuar con un ordenador, desde distancias de hasta 90 metros. Un
hacker podría hacer cosas como controlar el ordenador o introducir malware a la
máquina.
El fallo añade otro problema al siempre creciente número de dispositivos conectados, aunque sólo funcionaría en distancias cortas y todavía parece representar un problema hipotético.
En sus pruebas, la empresa encontró una docena de
dispositivos suceptibles al fallo, cuya lista ha sido hecha pública aquí. La
mayoría emplean una línea de transceptores fabricados por Nordic Semiconductor
que son compatibles con una encriptación de 128 bits, según el ingeniero de
Bastille que descubrió el problema, Marc Newlin, pero depende del fabricante de
los teclados y ratones aplicarla.
Bastille monitoriza actividades maliciosas en internet de las cosas con sensores que rastrean las firmas electromagnéticas de los dispositivos conectados a internet. Así logró determinar que mientras que los datos transmitidos por los teclados inalámbricos tienden a estar encriptados, ninguno de los ratones que probó encriptaban sus clics. También, mientras que la mayoría de los teclados probados por la empresa sí encriptan sus datos antes de enviárselos al dongle, los dongles no siempre requerían que esas informaciones estuviesen encriptadas. Estos dos factores permiten que un hacker engañe al dongle del ordenador de su víctima para que crea que sus clics remotos y pulsos de teclas son legítimos.
Puesto que cada teclado o ratón inalámbrico emplea una
radiofrecuencia única, Newlin dice que un hacker sólo necesitaría un barato
dongle de USB. Con él, un hacker podría espiar paquetes de datos transmitidos
entre, digamos, un ratón y el dongle conectado al ordenador para identificar
esa frecuencia. Entonces, sería capaz de transmitir paquetes de pulsos de
teclas como si fuera el legítimo dueño del ordenador.
El fundador y director Tecnológico de Bastille, Chris Rouland, afirma que la start-up avisó a las empresas sobre sus los dispositivos identificados como vulnerables, y que en general han estado "muy atentas" al problema. Algunos de los productos pueden hacerse más seguros con una sencilla actualización de software del dongle, pero la mayoría de ellos no pueden ser parcheados, así que los dongles tendrán que ser reemplazados.
Reacciones empresariales a la noticia
Fuente: MIT Technology Review
- En un comunicado, el director de Ingeniería de Logitech, Asif Ahsan, afirmó que la empresa había elaborado una actualización de software para solucionar el problema. Sin embargo, la vulnerabilidad que detectó Bastille "sería complicada de replicar" puesto que requiere una cercanía física con la víctima, explicó, lo cual lo convierte en "un método de ataque poco probable".
- Ahsan añadió: "No nos consta haber sido contactados nunca por un consumidor con este tipo de problema".
- Una portavoz de Dell, afirma que el software de uno de sus dos productos de teclado y ratón afectados pueden ser parcheados. Otro requerirá que los clientes contacten con el servicio técnico de la empresa para recibir "un sustituto adecuado".
- Y en una advertencia de seguridad publicada el pasado martes, Lenovo afirmó que el problema, que afecta a uno de sus teclados inalámbricos, será solucionado en los dispositivos nuevos, pero que los consumidores con una versión existente del dispositivo podrán contactar con el departamento de Atención al Cliente de Lenovo para pedir un sustituto.
