Los investigadores Karsten Nohl y Jakob Lell durante el mes de Julio, anunciaron que descubrieron una vulnerabilidad en los dispositivos USB. La falla, permitía a los atacantes escabullir “Malware” de forma efectiva en los dispositivos no detectados. La misma recibió el nombre de BadUSB y el problema reside en su firmware. A pesar de que Nohl y Lell no revelaron el código del error, este no tardo en conocerse.
Está semana, durante la DerbyCon, Adam Caudill y Brandom Wilson anunciaron que lograron descifrar el código del BadUSB y decidieron compartirlo sin consultarlo con NohL o Lell. El duo publicó la falla en GitHub y también demostró los varios usos que se le puede dar, incluyendo un ataque que toma el teclado del atacante y lo maneja a su antojo.
Según palabras de Caudill, el motivo de liberar el código fue para presionar a los fabricantes, “Si las únicas personas que pueden hacer esto son las que tienen presupuestos importantes, los fabricantes nunca van a hacer nada. Había que demostrarle al mundo que cualquiera podía hacerlo”
En el siguiente video pueden ver la conferencia de la DerbyCon donde Caudill y Wilson demuestran la vulnerabilidad.
[youtube http://www.youtube.com/watch?v=xcsxeJz3blI]
La única forma de solventarlo es creando una nueva capa de seguridad al rededor del firmware, esto representa una actualización completa en los estándares de los dispositivos USB, que a su vez se traduce en años de inseguridad. Sin importar la decisión que tome la industria, viviremos con ésta falla por un largo rato.