Los investigadores Karsten Nohl y Jakob Lell durante el mes de Julio, anunciaron que descubrieron una vulnerabilidad en los dispositivos USB. La falla, permitía a los atacantes escabullir “Malware” de forma efectiva en los dispositivos no detectados. La misma recibió el nombre de BadUSB y el problema reside en su firmware. A pesar de que Nohl y Lell no revelaron el código del error, este no tardo en conocerse.
Está semana, durante la DerbyCon, Adam Caudill y Brandom Wilson anunciaron que lograron descifrar el código del BadUSB y decidieron compartirlo sin consultarlo con NohL o Lell. El duo publicó la falla en GitHub y también demostró los varios usos que se le puede dar, incluyendo un ataque que toma el teclado del atacante y lo maneja a su antojo.
Según palabras de Caudill, el motivo de liberar el código fue para presionar a los fabricantes, “Si las únicas personas que pueden hacer esto son las que tienen presupuestos importantes, los fabricantes nunca van a hacer nada. Había que demostrarle al mundo que cualquiera podía hacerlo”
En el siguiente video pueden ver la conferencia de la DerbyCon donde Caudill y Wilson demuestran la vulnerabilidad.
La única forma de solventarlo es creando una nueva capa de seguridad al rededor del firmware, esto representa una actualización completa en los estándares de los dispositivos USB, que a su vez se traduce en años de inseguridad. Sin importar la decisión que tome la industria, viviremos con ésta falla por un largo rato.