Un investigador de seguridad ha descubierto una vulnerabilidad crítica en algunos de los clientes de cifrado de correo electrónico más populares y ampliamente utilizados del mundo que usan el estándar OpenPGP y confían en GnuPG para encriptar y firmar digitalmente los mensajes.

La revelación llega casi un mes después de que los investigadores revelaran una serie de fallas, denominadas eFail, en PGP y herramientas de cifrado S/Mime que podrían permitir a los atacantes revelar correos electrónicos cifrados en texto sin formato, afectando una variedad de programas de correo electrónico, incluyendo Thunderbird, Apple Mail y Outlook.

El desarrollador de software Marcus Brinkmann descubrió que una vulnerabilidad de sanitización de la entrada, que denominó SigSpoof, hace posible que los atacantes falsifiquen firmas digitales con la clave pública o la identificación de clave de alguien, sin requerir ninguna de las claves privadas o públicas involucradas.

La vulnerabilidad, a la que se le ha asignado el código CVE-2018-12020, afecta a las aplicaciones de correo electrónico populares, incluidas GnuPG, Enigmail, GPGTools y python-gnupg. Afortunadamente ya existen los parches disponibles, así que actualice lo antes posible si Ud. utiliza alguno de estos clientes de correo electónico.

Según lo explicado por el investigador, el protocolo OpenPGP permite incluir el parámetro «nombre de archivo» del archivo de entrada original en los mensajes firmados o encriptados, combinándolo con los mensajes de estado de GnuPG (incluida la información de firma) en un único canal de datos (paquetes de datos literales) agregando una palabra clave predefinida para separarlos.

Durante el descifrado del mensaje, al final  en el destinatario, la aplicación del cliente divide la información utilizando esa palabra clave y muestra el mensaje con una firma válida, si el usuario tiene habilitada la opción detallada en su archivo gpg.conf.

Sin embargo, el investigador encuentra que el nombre de archivo incluido, que puede tener hasta 255 caracteres, no se sanitiza adecuadamente con las herramientas que contienen la vulnerabilidad, lo que permite que un atacante «incluya alimentaciones de línea u otros caracteres de control».

Brinkmann demuestra cómo este vacío se puede utilizar para inyectar mensajes de estado GnuPG arbitrarios (falsos) en el analizador de la aplicación en un intento de falsificar la verificación de firma y los resultados del descifrado del mensaje:

El ataque es muy poderoso y el mensaje ni siquiera necesita ser encriptado en absoluto. Un único paquete de datos literales (también conocido como «texto plano») es un mensaje OpenPGP perfectamente válido y ya contiene el «nombre del archivo cifrado» utilizado en el ataque, aunque no haya sido cifrado.

El investigador también cree que la falla tiene el potencial de afectar una gran parte de nuestra infraestructura central que va más allá del encriptado de correo electrónico, debido a que «GnuPG no solo se usa para seguridad de correo electrónico sino también para respaldos seguros, actualizaciones de software en distribuciones y código fuente en sistemas de control de versiones como Git«.

Brinkmann también compartió tres pruebas de concepto que muestran cómo las firmas pueden ser falsificadas en Enigmail y GPGTools, cómo la firma y el cifrado pueden ser falsificados en Enigmail, así como también cómo se puede falsificar una firma en la línea de comando.

A pesar de las advertencias sobre la amenaza de dejar los servicios remotos inseguros habilitados en dispositivos Android, los fabricantes continúan enviando dispositivos con configuraciones de puerto de depuración ADB abiertas que dejan a los dispositivos basados en Android expuestos a los cibercriminales.

Android Debug Bridge (ADB) es una función de línea de comandos que generalmente se utiliza para fines de diagnóstico y depuración ayudando a los desarrolladores de aplicaciones a comunicarse con dispositivos Android de forma remota para ejecutar comandos y si es necesario, controlar completamente un dispositivo.

Por lo general, los desarrolladores se conectan al servicio ADB instalado en dispositivos Android utilizando un cable USB, pero también es posible usar ADB de forma inalámbrica habilitando un servidor daemon en el puerto TCP 5555 en el dispositivo.

Si se deja activado este servicio, los atacantes remotos no autorizados pueden escanear Internet para encontrar una lista de dispositivos Android inseguros que ejecutan la interfaz de depuración ADB a través del puerto 5555, acceder de forma remota a los privilegios de «root» más altos y luego instalar software malicioso sin autenticación.

Por lo tanto, se recomienda a los fabricantes que se aseguren que la interfaz ADB para sus dispositivos Android esté desactivada antes del envío de los mismos, por lo general se usa durante el proceso de control de calidad durante la fabricación. Sin embargo, muchos fabricantes no lo hacen.

En una publicación en el servicio de blogging Medium, aparecida este lunes 11 de Junio, el investigador de seguridad Kevin Beaumont dijo que todavía hay innumerables dispositivos basados en Android, incluidos smartphones, DVR, televisores inteligentes e incluso buques cisterna, que aún están expuestos a un ataque a la interfaz ADB:

Esto es muy problemático ya que permite a cualquier persona, sin contraseña, acceder de forma remota a estos dispositivos como usuario ‘root’ * – el modo de administrador – y luego instalar sigilosamente el software y ejecutar funciones maliciosas.

La amenaza no es algo teórico, ya que investigadores de la firma de seguridad china Qihoo 360 NetLab descubrieron un gusano, denominado ADB.Miner, a principios de este año, que explotaba la interfaz ADB para infectar dispositivos Android inseguros con un malware de minería Monero (XMR).

Se estima que el número total de smartphones, televisores inteligentes y decodificadores de televisión que fueron atacados por el gusano ADB.Miner fue de más de 5.000 dispositivos en tan solo 24 horas.

Ahora, Beaumont una vez más planteó sus preocupaciones a la comunidad sobre este tema. Otro investigador también confirmó que el gusano ADB.Miner detectado por Netlab en febrero todavía está vivo con millones de exploraciones detectadas el mes pasado.

Aunque es difícil saber la cantidad exacta de dispositivos infectados debido a que la mayoría de dispositivos están destras de un router que hace NAT (Network Address Translation), Beaumont dice que «es seguro decir ‘mucho'».

En respuesta a la publicación del blog de Beaumont, Shodan, un motor de búsqueda de Internet del IoT (Internet de las Cosas), también agregó la capacidad de buscar el puerto 5555. Según la exploración de las direcciones IP, la mayoría de los dispositivos expuestos se encuentran en Asia, incluidos China y Corea del Sur, cómo se puede apreciar en este gráfico:

Beaumont aconseja a los proveedores que dejen de enviar productos con Android Debug Bridge habilitado a través de una red, ya que crea un Root Bridge: una situación en la que cualquiera puede hacer un mal uso de los dispositivos.

Como la conexión de depuración de ADB no está encriptada ni requiere ninguna contraseña o intercambio de claves, se recomienda a los propietarios de dispositivos Android que la desactiven de inmediato.

Google Chrome es el navegador más usando actualmente en Internet, debido a al soporte que recibe de Google, pero pese a tener una empresa tan grande tras de sí, el investigador de seguridad Michał Bentkowski descubrió y reportó una vulnerabilidad de alta gravedad en Google Chrome a fines de mayo, que afecta a todas versiones de los principales sistemas operativos, incluidos Windows, Mac y Linux.

Sin revelar ningún detalle técnico aún sobre la vulnerabilidad, el equipo de seguridad de Chrome describió el problema como un manejo incorrecto del encabezado CSP (CVE-2018-6148) en una publicación en el blog oficial de Chrome:

El acceso a los detalles de los errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También retendremos restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se haya corregido

El encabezado de la Política de seguridad de contenido o CSP (por sus siglas en inglés), permite a los administradores de sitios web agregar una capa adicional de seguridad a una página web, permitiendoles controlar a que recursos el navegador puede tener acceso en el sitio web.

El manejo incorrecto de los encabezados de CSP por parte del navegador web podría volver a habilitar a los atacantes a realizar ataques del tipo cross-site scripts (XSS), clickjacking y otros tipos de ataques de inyección de código en cualquier página web específica.

El parche para la vulnerabilidad ya se lanzó a los usuarios en una actualización estable de Chrome 67.0.3396.79 para Windows, Mac y el sistema operativo Linux, que los usuarios pueden haber recibido o recibirán en los próximos días/semanas.

Por lo tanto, asegúrese de que su sistema esté ejecutando la versión actualizada del navegador web Chrome.

Por otra parte Firefox también lanzó una nueva versión de su navegador web, versión 60.0.2, que incluye soluciones de seguridad y corrección de errores. Por lo tanto, a los usuarios de la versión estable de Firefox también se les recomienda actualizar su navegador.

En el 39vo Simposio de sobre Seguridad y Privacidad del IEEE llevado a cabo en San Franciso la semana pasada (21-23 de Mayo), Connor Bolton de la Universidad de Michigan expuso como puede ser usado el parlante incorporado en la mayoría de las computadoras para crear una denegación de servicio en los discos duros y de esa manera afectar la integridad de los datos almacenados en ellos.

Bolton, que forma parte de un equipo de investigación que integra la Universidade Michigan y la Universidad de Zhejiang ha demostrado cómo las señales sónicas y ultrasónicas (inaudibles para los humanos) pueden usarse para causar daño físico a los discos duros simplemente reproduciendo sonidos ultrasónicos a través del propio altavoz integrado de la computadora objetivo del ataque o explotando un altavoz cerca del dispositivo objetivo.

Una investigación similar fue realizada el año pasado por un grupo de investigadores de la Universidad de Princeton y Purdue, quienes demostraron un ataque de denegación de servicio (DoS) contra discos duros mediante la explotación de un fenómeno físico llamado resonancia acústica.

Dado que las unidades de disco duro están expuestas a vibraciones externas, los investigadores demostraron cómo señales acústicas especialmente diseñadas podrían causar vibraciones significativas en los componentes internos de las unidades de disco duro, lo que finalmente conduce a la falla en los sistemas que dependen de la unidad de disco duro.

Para evitar un choque de la cabeza con el plato debido a la resonancia acústica, los discos duros modernos usan controles de avance impulsados por un sensor de choque que detectan dicho movimiento y mejoran la precisión de posicionamiento de la cabeza mientras se leen y escriben los datos.

Sin embargo, de acuerdo con un nuevo trabajo de investigación publicado por los investigadores de la Universidad de Michigan y la Universidad de Zhejiang, los sonidos sónicos y ultrasónicos causan falsos positivos en el sensor de choque, lo que provoca un impulso de aparcar innecesariamente la cabeza, con lo cual el disco deja de funcionar y puede causar un cuelgue de la computadora.

Al explotar esta vulnerabilidad de los discos duros, los investigadores demostraron cómo los atacantes podían llevar a cabo ataques exitosos en el mundo real contra discos duros encontrados en sistemas de CCTV (circuito cerrado de televisión) y computadoras de escritorio.

Estos ataques se pueden realizar usando un parlante externo cercano o mediante los propios parlantes integrados del sistema objetivo del ataque, al engañar al usuario para que reproduzca un sonido malicioso adjunto a un correo electrónico o en un página web.

En su configuración experimental, los investigadores probaron las interferencias acústicas y ultrasónicas contra varios HDD de Seagate, Toshiba y Western Digital. Además descubrieron que las ondas ultrasónicas tardaban de 5 a 8 segundos en inducir errores.

Sin embargo, las interferencias de sonido que duraron 105 segundos o más provocaron que los discos duros de Western Digital usados en un dispositivo de videovigilancia dejaran de grabar desde el comienzo de la vibración hasta que el dispositivo se reiniciara.

Los investigadores también pudieron interrumpir discos duros en computadoras de escritorio y portátiles con sistema operativo Windows y Linux. Tardaron solo 45 segundos en causar que una computadora portátil Dell XPS 15 9550 se congelara y 125 segundos en colgar cuando la computadora portátil fue engañada para reproducir audio malicioso a través de su altavoz incorporado.

El equipo también propuso algunas defensas que pueden usarse para detectar o prevenir ese tipo de ataques, incluido un nuevo controlador de retroalimentación que podría implementarse como una actualización de firmware para atenuar la interferencia acústica intencional, un método de fusión de sensor para evitar el estacionamiento innecesario al detectar disparo ultrasónico del sensor de choque y materiales de amortiguación del ruido para atenuar la señal.

Los detalles de la investigación se pueden encontrar en el documento presentado por los investigadores de la Universidad de Michigan y la Universidad de Zhejiang a la IEEE en formato PDF, titulado «Nota azul: cómo la interferencia acústica intencional daña la disponibilidad y la integridad en los discos duros y los sistemas operativos«.

De acuerdo a los portales de noticias financieras Bloomberg y Forbes, Google planea lanzar una actualización de sus smartphones insignia Pixel 3 & Pixel 3 XL este otoño en el hemisferio norte, según Bloomberg habrían conversaciones con Foxconn para que sean ellos quienes fabriquen los nuevos smartphones.

Esto es lo que nos cuenta Bloomberg:

La unidad de Alphabet Inc. está planificando al menos dos nuevos modelos, que probablemente se denominarán «Pixel 3» y «Pixel 3 XL», dijeron personas familiarizadas con el asunto. El teléfono más grande está diseñado con una pantalla casi de borde a borde, a excepción de un bisel más grueso conocido como mentón en la parte inferior del teléfono. La pantalla también tendrá un notch o recorte, en la parte superior. El modelo más pequeño se verá similar al Pixel 2 y no incluirá el notch o el aspecto de borde a borde, dijeron las personas, que pidieron no ser identificadas porque los planes aún no son públicos.

Los smartphones Pixel de Google son ampliamente considerados como algunos de los mejores dispositivos basados ​​en Android, pero continúan muy por detrás del iPhone de Apple Inc. y los productos de Samsung Electronics Co. en ventas y participación en el mercado. Google envió menos de 4 millones de unidades en 2017, según datos de la compañía de análisis IDC. En comparación iPhone envió 216 millones de iPhones en el mismo período. Google tiene la intención de seguir actualizando su línea Pixel anualmente ya que considera que la división de hardware es importante para el futuro a largo plazo de la compañía.

Como lo ha hecho en los últimos dos años, Google planea desplegar los nuevos teléfonos en octubre, alrededor de un mes después de que Apple normalmente anuncia sus nuevos dispositivos. Verizon Wireless Inc., por tercer año consecutivo, será el operador exclusivo de los EE. UU. Para los nuevos Pixels, dijeron las personas.

Los planes para los nuevos Pixels podrían cambiar antes de que se liberen los teléfonos, dijeron las personas. Una portavoz de Google se negó a comentar sobre los nuevos teléfonos.

Por otro lado el portal Forbes publicó posibles fotos filtradas de las máscaras frontales de los nuevos Pixel, que fortalecen lo anunciado por Bloomberg:

De todo lo anunciado por ambos portales podemos resumir en tres los puntos claves de la nueva generación de smartphones de Google:

• Parece que Pixel 3 y Pixel 3 XL seguirán siendo exclusivos de Verizon, aunque aún se podría comprarlos desbloqueados.
• Google se quedará con el diseño de una sola cámara en la parte trasera en ambos smartphones mientras coloca dos lentes en el frente.
• El Pixel 3 se tendrá una apariencia bastante similar al Pixel 2.

¿Qué opinan? ¿Será esto lo que veremos en Octubre?

El regulador de comunicaciones ruso, Roskomnadzor, amenazó a Apple con enfrentar las consecuencias si la compañía no retira la aplicación de mensajería segura Telegram de su App Store.

Ya en abril, el gobierno ruso prohibió a Telegram en el país, tras la negativa de la empresa a entregar claves privadas de cifrado a los servicios de seguridad estatales rusos para acceder a los mensajes enviados mediante el servicio de mensajería instantánea.

Sin embargo, hasta ahora, la aplicación Telegram todavía está disponible en la versión rusa de la App Store de Apple.

Por lo tanto, en un esfuerzo por prohibir por completo a Telegram dentro de las fronteras de Rusia, la agencia de seguridad gubernamental Roskomnadzor envió una carta legalmente vinculante a Apple pidiéndole que retire la aplicación de su tienda de aplicaciones en Rusia y bloquee el envío de notificaciones automáticas a los usuarios locales que ya tuvieran la aplicación instalada.

El director de Roskomnadzor, Alexander Zharov, dijo que le está dando a la compañía un mes para que retire la aplicación Telegram de su App Store antes de que el regulador imponga el castigo por las violaciones.

Para quienes no estén familiarizados con la aplicación, Telegram ofrece encriptación de extremo a extremo para mensajes seguros, de modo que nadie, ni siquiera Telegram, pueda acceder a los mensajes que se envían entre los usuarios.

A pesar de estar prohibido el uso de esta aplicación en Rusia desde el pasado mes de abril, la mayoría de los usuarios rusos todavía usan la aplicación a través de Redes Privadas Virtuales (VPN), y solo del 15 al 30 por ciento de las operaciones de Telegram en el país se han visto afectadas hasta ahora, declaró la agencia gubernamental Roskomnadzor ayer en un comunicado.

Roskomnadzor es la agencia del gobierno ruso que se encarga de supervisar los medios, incluidos los medios electrónicos, las comunicaciones masivas, la tecnología de la información y las telecomunicaciones; organizar el trabajo del servicio de radiofrecuencia y supervisar el cumplimiento de la ley que protege la confidencialidad de los datos personales de los usuarios.

Roskomnadzor quería que Telegram compartiera los chats y claves de cifrado de sus usuarios con los servicios de seguridad del estado, ya que según las agencias de inteligencia rusas, la aplicación de mensajería cifrada es muy popular entre los terroristas que operan dentro de Rusia.

Sin embargo, Telegram se rehusó a cumplir con lo exigido por el gobierno ruso, lo que trajo como consecuencia la prohibición del uso de la aplicación en Rusia.

Aunque Apple ha expresado principalmente su apoyo para el cifrado y la seguridad de los datos en el pasado, sin emabargo se ha visto que la empresa cumple con las demandas de los gobiernos locales. Por ejemplo, el año pasado, Apple eliminó todas las aplicaciones VPN de su tienda de aplicaciones en China, lo que hace más difícil para los usuarios de Internet eludir el gran firewall impuesto por el gobierno chino y trasladó sus operaciones de iCloud a una empresa local vinculada al gobierno chino.

Además, a fines del año pasado, Apple sacó Skype, junto con varias aplicaciones similares, de su App Store en China, accediendo a las demandas del gobierno chino. Por lo cuál es lógico suponer que Telegram será retirado del App Store en Rusia en el corto plazo.

Más de medio millón de routers y dispositivos de almacenamiento (NAS) en docenas de países han sido infectados con una pieza de malware que es una botnet de dispositivos IoT altamente sofisticado, probablemente diseñado por un grupo auspiciado por Rusia.

La unidad de inteligencia cibernética Talos de Cisco ha descubierto una pieza avanzada de malware que tiene como objetivo dispositivos IoT, denominado VPNFilter, que ha sido diseñado con capacidades versátiles para recopilar información de los usuarios, interferir con las comunicaciones de Internet y realizar operaciones destructivas de ataque cibernético, incluyendo la destrucción del propio dispositivo infectado.

El malware ya ha infectado más de 500,000 dispositivos en al menos 54 países, la mayoría de los cuales son routers hogareños y dispositivos de almacenamiento conectados a Internet de Linksys, MikroTik, NETGEAR y TP-Link. También se sabe que algunos dispositivos de almacenamiento conectado a la red (NAS) fueron también infectados.

VPNFilter es un malware modular de varias capas, que puede robar credenciales de sitios web y monitorear controles industriales o sistemas SCADA, que es un standard que es utilizado en redes eléctricas, otro tipo de infraestructura y fábricas.

El malware se comunica por Tor anonimizando la red e incluso contiene un killswitch para los routers, donde el malware se mata deliberadamente y en dicho proceso puede volver inútil al mismo dispositivo.

A diferencia de la mayoría de otros programas maliciosos que se enfocan en dispositivos de Internet de las cosas (IoT), la primera capa de VPNFilter puede sobrevivir a un reinicio del router, ganando un punto de apoyo constante en el dispositivo infectado y permitiendo el despliegue del malware de una segunda capa.

VPNFilter lleva el nombre de un directorio (/var/run/vpnfilterw) que el malware crea para ocultar sus archivos en un dispositivo infectado.

Dado que la investigación aún está en curso, los investigadores de Talos «no tienen pruebas definitivas de cómo el actor amenazante está explotando los dispositivos afectados», pero creen firmemente que VPNFilter no explota ninguna vulnerabilidad de día cero para infectar a sus víctimas.

En cambio, el malware se dirige a dispositivos que aún están expuestos a vulnerabilidades públicas bien conocidas o que tienen credenciales predeterminadas, lo que hace que el compromiso sea relativamente sencillo.

Los investigadores de Talos piensan que el gobierno ruso es quien está detrás de VPNFilter porque el código de malware se superpone con las versiones de BlackEnergy, el malware responsable de los múltiples ataques a gran escala contra dispositivos en Ucrania que el gobierno de EE. UU. atribuyó a Rusia.

Los investigadores dijeron que dieron a conocer sus hallazgos antes de completar su investigación, debido a la preocupación por un posible ataque futuro contra Ucrania, que ha sido repetidamente víctima de ciberataques rusos, incluido un corte de energía a gran escala y NotPetya.

Si ya está infectado con el malware, haga un factory reset de su ruter a los valores predeterminados de fábrica para eliminar el malware potencialmente destructivo y actualice el firmware de su dispositivo lo antes posible.

Debe estar más atento a la seguridad de sus dispositivos inteligentes de IoT para evitar esos ataques de malware, se recomienda cambiar las credenciales predeterminadas de sus dispositivos IoT.

Si su router es vulnerable por defecto y no se puede actualizar, deséchelo y compre uno nuevo, así de simple. Su seguridad y privacidad vale más que el precio de un router.

Según ArsTechnica el FBI ha tomado el control de los nombre de dominio usados para hacer el Comando & Control de la botnet.

Investigadores de seguridad chinos de Keen Security Lab han descubierto más de una docena de vulnerabilidades en las unidades de cómputo de los automóviles de la reconocida empresa alemana BMW, algunas de las cuales pueden ser explotadas remotamente para comprometer un vehículo.

Los defectos en la seguridad de la computadora de abordo se descubrieron durante una auditoría de seguridad de un año realizada por investigadores de Keen Security Lab, una división de investigación de ciberseguridad de la empresa china Tencent, entre enero del 2017 y febrero de este año.

En marzo de 2018, el equipo reveló responsablemente 14 vulnerabilidades diferentes directamente al Grupo BMW, lo que afecta a los vehículos fabricados por BMW desde al menos 2012.

Estos son el mismo grupo de investigadores de seguridad que han encontrado múltiples vulnerabilidades en varios módulos de los automóviles fabricados por Tesla, que podrían haber sido explotados para lograr controlar remotamente un automóvil objetivo del ataque.

Ahora que BMW comenzó a implementar parches para las vulnerabilidades descubiertas en sus automóviles, los investigadores han hecho público un informe técnico de 26 páginas [PDF en inglés] que describe sus hallazgos, aunque evitaron publicar algunos detalles técnicos importantes para evitar el abuso y además no proveen PoC (Proof of Concept), con lo cuál en teoría estas vulnerabilidades no podrían ser explotadas maliciosamente al día de hoy.

Los investigadores dijeron que se espera que una copia completa de su investigación aparezca en algún momento a principios de 2019, con lo cual el grupo BMW tiene tiempo más que suficiente para mitigar por completo todas las vulnerabilidades encontradas.

El equipo de investigadores de seguridad chinos se centraron en tres componentes críticos de los vehículos: el sistema de infoentretenimiento (o unidad principal), la unidad de control telemático (TCU o T-Box) y el módulo central de pasarela presente en varios modelos de BMW.

Aquí está la lista de las vulnerabilidades descubiertas por los investigadores por categoría:

• 8 vulnerabilidades afectan el sistema de infoentretenimiento conectado a Internet que reproduce música y otros medios audiovisuales.
• 4 fallas afectan la Unidad de Control Telemático (TCU) que proporciona servicios de telefonía, servicios de asistencia de accidentes y la capacidad de bloquear/desbloquear las puertas del automóvil de forma remota.
• 2 defectos afectan al Módulo de puerta de enlace central que se ha diseñado para recibir mensajes de diagnóstico de la TCU y la unidad de infoentretenimiento y luego transferirlos a otras Unidades de control electrónico (ECU) en diferentes buses CAN.

La explotación de estas vulnerabilidades podría permitir a los atacantes enviar mensajes de diagnóstico arbitrarios a la unidad de control del motor (ECU) del vehículo objetivo, que controla las funciones eléctricas del automóvil y al bus CAN, que es la médula espinal del vehículo.

Esto eventualmente podría permitir que los ciberdelincuentes tomen el control completo sobre la operación del vehículo afectado hasta cierto punto.

Cuatro de las vulnerabilidades descubiertas requieren un acceso USB físico o acceso al puerto ODB (diagnóstico a bordo), lo que significa que los atacantes deben estar dentro de su vehículo para explotarlos al enchufar un dispositivo cargado con malware en el puerto USB.

Sin embargo, seis vulnerabilidades se pueden explotar de forma remota para poner en peligro las funciones del vehículo, incluida una conducida a corta distancia por Bluetooth o tambien a larga distancia a través de redes celulares 3G/4G, incluso cuando el vehículo está en marcha. Lo cuál las vuelve extremadamente peligrosas.

El equipo confirmó que las vulnerabilidades existentes en la unidad principal y afectarían a varios modelos de BMW, incluidos el BMW Serie i, el BMW Serie X, el BMW Serie 3, el BMW Serie 5 y el BMW Serie 7.

Sin embargo, los investigadores dijeron que las vulnerabilidades descubiertas en la Unidad de Control Telemático (TCB) afectarían a los «modelos de BMW equipados con este módulo producido a partir del año 2012».

BMW confirmó los hallazgos de los investigadores chinos y ya comenzó a implementar actualizaciones OTA (Over-The-Air) para corregir algunos errores en la TCU, pero otros defectos necesitarán parches a través de la red de distribuidores autorizados, razón por la cual los investigadores han programado recien hacer público su informe técnico completo en marzo del 2019.

BMW también premió a los investigadores de Keen Security Lab con el premio BMW Group Digitalization and IT Research Award, describiendo la investigación llevada a cabo como «la prueba más exhaustiva y compleja jamás realizada en vehículos BMW Group por un tercero«.

Investigadores de seguridad de Microsoft y Google han descubierto una cuarta variante de los fallos de seguridad de Meltdown-Spectre que filtran datos del modo kernel y que afectan a las CPU modernas en millones de computadoras, incluidas las comercializadas por Apple.

La variante 4 llega semanas después de que la revista alemana Heise informara sobre un conjunto de ocho vulnerabilidades de la clase Specter en las CPU de Intel y una pequeña cantidad de procesadores ARM, también pueden afectar la arquitectura del procesador AMD.

Las variantes 1 y 2 (CVE-2017-5753 y CVE-2017-5715), conocidas como Specter y la Variante 3 (CVE-2017-5754) conocida como Meltdown, son tres vulnerabilidades de los procesadores reveladas por los investigadores de Google Project Zero en enero de este año y de las que hemos hablado extensamente en este blog.

Ahora, los investigadores de Microsoft y Google han revelado la Variante 4 (CVE-2018-3639), llamada Speculative Store Bypass, que es una variante de Specter que aprovecha de manera similar la ejecución especulativa que utilizan las CPU modernas para exponer potencialmente datos confidenciales a través de un canal lateral.

La ejecución especulativa es un componente central del diseño de procesadores modernos que ejecuta de forma especulativa instrucciones basadas en suposiciones que se consideran probables. Si los supuestos resultan ser válidos, entonces se ejecuta el código y si no lo son entonces se descarta.

Sin embargo, los errores de diseño de ejecución especulativa pueden explotarse con software malicioso o aplicaciones que se ejecutan en una computadora vulnerable o un actor malicioso conectado al sistema para engañar a la CPU y revelar información confidencial, como contraseñas y claves de cifrado, almacenadas en la memoria del sistema y el espacio de kernel.

A diferencia de Meltdown que impactó principalmente a los chips de Intel, Specter también afecta a los chips de otros fabricantes como AMD y ARM.

La última falla de Specter Variante 4 afecta a los núcleos de procesador modernos de Intel, AMD y ARM, así como a las CPU Power 8, Power 9 y System z de IBM, que amenazan casi todas las PC, computadoras portátiles, teléfonos inteligentes, tabletas y SoC, independientemente del fabricante o sistema operativo.

El ataque especulativo Store Bypass hasta ahora se ha demostrado en un «entorno de tiempo de ejecución basado en el lenguaje». El uso más común de los tiempos de ejecución, como JavaScript, es en los navegadores web, pero Intel afirma no haber visto ninguna evidencia de exploits diseñados para explotar este tipo de vulnerabilidades que sean llevados acabo de forma exitosa en la red.

La conocida empresa Red Hat, que es una de las distribuciones más conocidas de Linux, también proporcionó un video que describe la nueva falla de Specter, junto con la publicación de el blog de la empresa que explica detalladamente cómo funciona esta recien descubierta vulnerabilidad:

Además de la Variante 4, los investigadores de Google y Microsoft también descubrieron la variante 3A, denominada «Registro de sistema falso«, una variación de Meltdown que permite a los atacantes con acceso local a un sistema utilizar el análisis de canales laterales y leer datos confidenciales y otros parámetros del sistema.

Intel ha clasificado la Variante 4 de Specter como de «riesgo medio» porque «muchos» de los exploits que hace uso de la vulnerabilidad del la ejecución especulativa fueron corregidos en navegadores como Safari, Edge y Chrome luego del conjunto de parches liberado a inicios de año.

Sin embargo, dado que existe el potencial de nuevas vulnerabilidades, Intel y sus socios (incluidos los fabricantes de PC y fabricantes de sistemas OEM) están lanzando actualizaciones de microcódigo para los CPU y de BIOS para la Variant 4 de Specter en las próximas semanas.

Aunque la mitigación de la recientemente descubierta vulnerabilidad estará desactivará por defecto, proporcionando a los usuarios la opción de habilitarla o no. La razón es porque si el parche está habilitado, Intel ha observado un impacto en el rendimiento de las CPU de aproximadamente un 2 a 8 por ciento en los puntajes generales en pruebas de rendimiento como YSmark 2014 SE y SPEC para números enteros.

ARM y AMD también están lanzando parches de seguridad para sus respectivos chips, con ARM diciendo que la última variante de Spectre impacta solo una pequeña cantidad de núcleos ARM Cortex-A y se mitiga con una actualización del firmware desarrollada por ARM.

AMD también lanzó un documento técnico, que aconseja a los usuarios que dejen la solución desactivada debido a la dificultad inherente de realizar un ataque del tipo Speculative Store Bypass exitoso y han declarado:

Microsoft está completando las pruebas finales y la validación de las actualizaciones específicas de AMD para los sistemas operativos de servidor y cliente de Windows, que se espera sean lanzados a través de su proceso de actualización estándar.

Del mismo modo, los distribuidores de Linux están desarrollando actualizaciones del sistema operativo para SSB. AMD recomienda consultar con su proveedor de sistemas operativos para obtener orientación específica sobre las fechas programadas.

En resumen, no habrá una solución permanente (en su lugar solo una mitigación) para exploits similares a Specter hasta que Intel y otros fabricantes de chips liberen diseños de chips actualizados. Por lo tanto, se recomienda encarecidamente a los usuarios seguir las buenas prácticas de seguridad que protejan contra el malware y garantizar que su software esté actualizado.

Según los informes, un equipo de investigadores de seguridad descubrió un total de ocho nuevas vulnerabilidades del «tipo Specter» en las CPU Intel, que también afectan al menos a un pequeño número de procesadores ARM y también pueden afectar a los procesadores de AMD.

Denominado Specter-Next Generation, o Specter-NG, los detalles parciales de las vulnerabilidades fueron filtrados por primera vez a los periodistas en la revista alemana Heise, que afirman que Intel clasificó cuatro de las nuevas vulnerabilidades como «de alto riesgo» y las restantes cuatro como «de riesgo medio».

Estos nuevos fallos de las CPU, provienen del mismo problema de diseño que causó el defecto original de Spectre, pero el informe afirma que uno de los defectos descubiertos recientemente permite a los atacantes con acceso a una máquina virtual (VM) apuntar fácilmente al sistema host, lo que hace potencialmente vuelve más peligroso esta nueva vulnerabilidad que el Spectre original.

Según lo reportado en la revista alemana:

Alternativamente, se podría atacar a las máquinas virtuales de otros clientes que se ejecutan en el mismo servidor. Las contraseñas y las claves secretas para la transmisión segura de datos son objetivos muy solicitados en los sistemas en la nube y están en grave peligro debido a esta brecha de seguridad.

Sin embargo, la vulnerabilidad de Specter-NG antes mencionada se puede explotar con bastante facilidad para ataques a través de los límites del sistema, elevando el potencial de amenaza a un nuevo nivel. Los proveedores de servicios en la nube como Amazon o Cloudflare y por supuesto, sus clientes se ven particularmente afectados.

Si se ha enterado aún, la vulnerabilidad Specter, que se informó a principios de este año, depende de un ataque de canal lateral en el motor de ejecución especulativa de un procesador, permitiendo que un programa malicioso lea información sensible, como contraseñas, claves de cifrado o información confidencial, incluidos en el espacio de kernel.

Aunque el sitio alemán no reveló el nombre de los investigadores de seguridad (o el equipo/compañía) que informaron sobre estas fallas en procesadores Intel, reveló que una de las debilidades fue descubierta por un investigador de seguridad en el Proyecto Zero de Google.

El sitio también afirmó que el investigador de seguridad de Google informó del error a los fabricantes de chips hace casi 88 días, lo que indica que el investigador posiblemente revelaría los detalles de al menos una fallas el día de hoy 7 de mayo, cuando se cerrará la ventana de revelación de 90 días, que es el día antes del Windows Patch Tuesday, que cuándo Microsoft envia sus actualizaciones de seguridad a sus usuarios.

Revelar responsablemente las vulnerabilidades de Spectre-NG a los proveedores es definitivamente una buena práctica, pero parece que los investigadores, que descubrieron la nueva serie de defectos del tipo Spectre, evitan que sus nombres salgan temprano, tal vez para evitar una crítica de los medios similar a la que enfrentó CTS Labs después de que revelaron detalles parciales de fallas de seguridad en los procesadores AMD con un sitio web dedicado, hermosos gráficos y videos explicando las fallas.