Sabemos muy bien que algunos sistemas operativos tienen fama por sus vulnerabilidades en seguridad y algunos otros como Linux son los "reyes de la seguridad", pero esto no significa que no puedan salir perjudicados.
Andrey Konovalov, Investigador de Google ha publicado un listado de 14 vulnerabilidades halladas en el subsistema USB de Linux tras realizar pruebas de fuzzing*.
Lo mostrado sería solo un poquito, ya que en total encontro alrededor de 40 vulnerabilidades. Sin embargo, el hecho de que sean explotadas mediante los puertos USB hace que se requiera de acceso físico al equipo, por lo que el escenario de ataque remoto queda descartado.
Tengamos en cuenta que estas vulnerabilidades afectan a millones de dispositivos, no solo en las conocidas distribuciones Linux, sino también en Android, ChromeOS, dispositivos IoT e incluso sistemas de entretenimiento de los aviones.
Se ha planteado la posibilidad de poder ejecutar las vulnerabilidades de forma remota mediante la API WebUSB*, pero Andrey Konovalov ha expresado su escepticismo sobre este escenario, argumentando que “esos 14 fallos que he encontrado son ejecutables de forma externa conectando dispositivos USB maliciosos, así que en este caso atacamos el kernel ‘desde el otro lado’.
Pondremos la lista de las 14 vulnerabilidades publicadas por Andrey Konovalov:
Glosario de Palabras
*Fuzzing. Es una técnica de pruebas de software, a menudo automatizado o semiautomatizado, que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa de ordenador.
*API WebUSB. API en la que podemos acceder a la USB desde la web.
Se Respetan Derechos de Autor.
Nos vemos en la próxima.