Malware en el software privativo → Inseguridad

Esta es una traducción de la página original en inglés.

Inseguridad en el software privativo

• Algunos delincuentes informáticos (a los que equivocadamente se refieren en este artículo como «hackers») han conseguido entrar en el sistema privativo del Amazon Ring y acceder a la cámara, los altavoces y los micrófonos.

• Una serie de vulnerabilidades halladas en iOS permitía a los atacantes acceder a información sensible, incluidos mensajes privados, contraseñas, fotos y contactos registrados en el iMonstruo del usuario.

  La profunda inseguridad de los iMonstruos es aún más relevante dado que el software privativo de Apple hace a los usuarios totalmente dependientes de esa compañía a cambio de una endeble seguridad. Esto significa también que los dispositivos no ofrecen ninguna seguridad frente a la propia Apple.

• De las 21 aplicaciones antivirus gratuitas de Android estudiadas por expertos en seguridad, ocho fallaron en la detección de un virus de prueba. Todas ellas solicitaban peligrosos permisos o contenían rastreadores publicitarios, y siete representaban mayor riesgo que la media de las cien aplicaciones de Android más populares.

  (Observe que el artículo se refiere a esas aplicaciones privativas como «free». En lugar ello, debería decir «gratis».)

• Muchas aplicaciones de Android pueden rastrear los movimientos del usuario incluso cuando este no les permite obtener datos de localización.

  Al parecer se trata de un defecto no intencionado de Android, aprovechado intencionalmente por aplicaciones maliciosas.

• Los usuarios que quedan atrapados en la prisión de un iMonstruo se convierten en objetivos fáciles para otros atacantes, y la censura de las aplicaciones impide que las empresas de seguridad puedan descubrir cómo funcionan los ataques.

  La censura de las aplicaciones por parte de Apple es fundamentalmente injusta, y sería inadmisible aun si no acarreara peligros de seguridad.

• El protocolo de telemetría Conexus, de Medtronics, tiene dos vulnerabilidades que afectan a varios modelos de desfibriladores implantables y a los dispositivos a los que se conectan.

  Este protocolo se ha estado utilizando aproximadamente desde 2006, y en 2008 se descubrieron vulnerabilidades similares en un protocolo de comunicaciones anterior de Medtronics. Es obvio que la compañía no hizo nada por solucionarlo. Esto significa que no se puede confiar en que los desarrolladores de software privativo corrijan los fallos de sus productos.

• El videotimbre Ring (ahora Amazon) está diseñado de tal modo que el fabricante (ahora Amazon) puede estar observando todo el tiempo. Ahora resulta que también cualquier otro puede observar e incluso falsear vídeos.

  Es de suponer que la vulnerabilidad a terceros no es intencionada, y probablemente Amazon lo solucionará. Sin embargo, no contamos con que Amazon cambie el diseño que le permite observar.

• Algunos investigadores han descubierto cómo ocultar las órdenes vocales en otras transmisiones de audio, de modo que resultan inaudibles para los seres humanos pero no para Alexa y Siri.

• Unos «crackers» encontraron la manera de sortear las medidas de seguridad de un dispositivo de Amazon y convertirlo en un dispositivo de escucha a su servicio.

  Les costó mucho hacerlo. A Amazon eso le resultaría mucho más sencillo. Y si algún Gobierno, como China o EE. UU., le dijera a Amazon que lo hiciera, o que dejara de vender ese dispositivo en el país, ¿creen que Amazon tendría la suficiente integridad moral para negarse?

  (Estos crackers son probablemente también hackers, pero por favor no utilice la palabra «hackear» para referirse a «sortear medidas de seguridad».)

• Siri, Alexa y todos los demás sistemas de control vocal pueden ser secuestrados por programas que envían órdenes mediante ultrasonidos inaudibles para los humanos.

• Algunos teléfonos de Samsung envían fotos, al azar, a gente que se encuentra en la lista de contactos del propietario.

• Uno de los peligros del «Internet de las Trucosas» es que si se pierde la conexión a internet, también se pierde el control de la casa y aparatos domésticos.

  Por el bien de su seguridad, no utilice aparatos conectados a internet.

• La puerta trasera intencional del «motor de gestión» de Intel tiene también puertas traseras accidentales.

• Recientemente Amazon embaucó a los consumidores para que permitieran al personal de la compañía abrir la puerta de entrada de sus casas. Por si no lo sabía, el sistema tiene un grave fallo de seguridad.

• El sistema de seguridad deficiente de algunos coches hace que sea posible activar las bolsas de aire de forma remota.

• Una bomba intravenosa «inteligente» para hospitales está conectada a internet. Naturalmente, su seguridad ya ha sido burlada.

  (En ese artículo se utiliza erróneamente el término «hackers» para referirse a los «crackers».)

• El sistema de seguridad deficiente de muchos de los aparatos que funcionan en el Internet de las Trucosas permite que los proveedores de los servicios de internet espíen a quienes los usan.

  No sea ingenuo, rechace todas las trucosas.

  (Lamentablemente, en al artículo se utiliza el término «monetizar».)

• Muchos modelos de cámaras conectadas a internet tienen puertas traseras.

  Esta es una funcionalidad maliciosa, pero también un gran defecto de seguridad, ya que cualquier persona, incluso un intruso malintencionado, puede encontrar las cuentas y usarlas para acceder a las cámaras de los usuarios.

• La puerta trasera de la CPU de Intel (el motor de gestión de Intel) tuvo una importante vulnerabilidad de seguridad durante 10 años.

  La vulnerabilidad permitía que un delincuente informático pudiera acceder a la interfaz web de la «tecnología Intel para la gestión activa» (AMT) del ordenador sin contraseña y con privilegios de administrador, obteniendo así acceso al teclado, al ratón y al monitor, entre otros privilegios.

  Además, en los nuevos procesadores Intel es imposible desactivar el motor de gestión, de modo que los usuarios, incluso los que se preocupan activamente por su seguridad, no pueden hacer nada para protegerse aparte de utilizar máquinas que no tengan la puerta trasera.

• El código privativo que hace funcionar a los marcapasos, bombas de insulina y otros dispositivos médicos está repleto de graves fallos de seguridad.

• El controlador de audio Conexant HD (versión 1.0.0.46 y precedentes) preinstalado en 28 modelos de portátiles HP anotaba todos los movimientos del teclado del usuario en un registro guardado en el sistema de archivos. Cualquier proceso con acceso al sistema de archivos o a la API MapViewOfFile podía acceder al registro. Es más, según modzero, «la fuga de datos a través del Covert Storage Channel permite a los autores de malware capturar las pulsaciones de teclado sin correr el riesgo de que los controles heurísticos del antivirus lo clasifique como tarea maliciosa».

• Procedimientos para sacar provecho de fallos de Windows, que fueron desarrollados por la NSA y luego divulgados por el grupo Shadowbrokers, se están utilizando ahora para atacar con programas secuestradores a un gran número de máquinas que operan con Windows.

• Muchos dispositivos Android pueden ser atacados a través de sus chips Wi-Fi debido a un fallo en el firmware privativo de Broadcom.

• Cuando el lavavajillas desinfectante Miele que se usa en los hospitales se conecta al Internet de las Trucosas, su seguridad es pura basura.

  Por ejemplo, un delincuente informático puede acceder al sistema de archivos del lavavajillas, infectarlo con malware, y hacer que la máquina lance un ataque a los otros dispositivos conectados a la red. Dado que estos lavavajillas se usan en los hospitales, tales ataques podrían poner en riesgo las vidas de cientos de personas.

• Si usted compra algo que supuestamente es «inteligente», como por ejemplo un automóvil, una casa, un televisor, un refrigerador, etc., por lo general los anteriores dueños siguen teniendo el control de manera remota.

• Las aplicaciones de los móviles para comunicarse con un automóvil supuestamente «inteligente» ofrecen poca seguridad.

  A esto se añade el hecho de que el vehículo lleva un módem de radiocomunicación que informa permanentemente al Gran Hermano de su localización. Si posee un automóvil de este tipo, sería razonable desconectar el módem a fin de evitar el rastreo.

• Un atacante podría convertir los sensores del Oculus Rift en cámaras de vigilancia, tras haber penetrado en el ordenador al que están conectadas.

  (Desafortunadamente, el artículo emplea de forma impropia la palabra «hackers» para referirse a los crackers.)

• Los teléfonos de Samsung tienen un fallo de seguridad que permite que un mensaje de SMS instale programas secuestradores del sistema).

• WhatsApp tiene una función que se ha descrito como «puerta trasera», ya que permitiría a los Gobiernos anular su encriptación.

  Los desarrolladores afirman que su propósito no era introducir una puerta trasera. Y esto bien puede ser cierto, pero deja en el aire la cuestión de si funciona como tal. Como el programa no es libre, no podemos estudiarlo para comprobarlo.

• Los juguetes «inteligentes» My Friend Cayla y i-Que se pueden controlar a distancia con un teléfono móvil, no es necesario acceder físicamente. Esto permitiría a los delincuentes informáticos escuchar las conversaciones de los niños e incluso hablarles a través de los juguetes.

  Esto significa que un ladrón podría, a través de los juguetes, pedirle al niño que abra la puerta de la casa mientras su mamá está distraída.

• Las redes telefónicas 4G LTE son sumamente inseguras. Cualquier tercero puede tomar el control de las redes y usarlas para perpetrar ataques de intermediario.

• Debido a una seguridad deficiente, es fácil abrir las puertas de cien millones de automóviles construidos por Volkswagen.

• Se ha desarrollado software para el secuestro de datos para un termostato que funciona con software privativo.

• Un fallo en Internet Explorer y Edge permite a un atacante obtener los datos identificativos de la cuenta de Microsoft si el usuario cae en la trampa de visitar un enlace malicioso.

• Los mensajes «borrados» de WhatsApp no se borran completamente. Hay diversas maneras de recuperarlos.

• Una vulnerabilidad en la interfaz de programación (API) Image I/O de Apple permitía a un atacante ejecutar código malicioso desde cualquier aplicación que utilizara esta API para mostrar cierto tipo de archivos de imagen.

• Un fallo en la biblioteca privativa ASN.1, utilizada en torres de telefonía móvil, así como en teléfonos móviles y enrutadores, permite tomar el control de esos sistemas.

• Los programas antivirus contienen tantos errores que pueden empeorar la seguridad.

  GNU/Linux no necesita software antivirus.

• El sistema «Smart Home» de Samsung tiene un gran agujero de seguridad: puede ser controlado a distancia por personas sin autorización.

  Samsung dice que se trata de una plataforma «abierta», por lo que los desarrolladores de aplicaciones son en parte los responsables del problema. Esto es claramente cierto en el caso de aplicaciones privativas.

  Todo lo que incluye la palabra «inteligente» (smart) en el nombre con toda probabilidad está diseñado para engañar.

• Un fallo en la aplicación de mensajería de las iCosas permitió a un sitio web malicioso obtener todo el historial de mensajes del usuario.

• Se ha encontrado malware en las cámaras de seguridad que se venden en Amazon.

  Si una cámara registra localmente en un soporte físico y no está conectada a una red, ésta no constituye peligro de vigilancia, ni por el hecho de que observa a las personas ni por la presencia de malware en la misma.

• Más de setenta cámaras de vigilancia conectadas a la red tienen fallos de seguridad que permiten que cualquiera pueda mirar a través de ellas.

• Muchas aplicaciones privativas de pago transmiten datos personales de manera insegura. Sin embargo, lo peor de estas aplicaciones es que el pago no es anónimo.

• El Nissan Leaf contiene un módem integrado de teléfono móvil que permite a cualquiera acceder a distancia al ordenador del coche y hacer modificaciones en la configuración.

  Es fácil hacerlo porque el sistema no requiere autenticación cuando se accede a través del módem. Pero aunque fuese necesaria la autenticación, no se puede confiar en que Nissan no tenga acceso. El software del coche es privativo, lo que significa que a los usuarios se les pide que confíen ciegamente en él.

  Aun en el caso de que nadie se conecte al coche de forma remota, el módem del móvil hace que la compañía telefónica pueda rastrear los movimientos del coche en todo momento; no obstante, es posible quitar físicamente el módem del móvil.

• Los medidores de actividad física FitBit tienen una vulnerabilidad de Bluetooth que permite a un atacante enviar a un dispositivo malware que sucesivamente se puede propagar a otros medidores FitBit con los que interactúa.

• Los discos duros «autoencriptables» encriptan los datos con firmware privativo, de modo que no se puede confiar. Los discos «My Passport» de Western Digital tienen una puerta trasera.

• Algunos investigadores en materia de seguridad han descubierto una vulnerabilidad en los dispositivos de diagnóstico que se usan para el rastreo y el seguro de vehículos; la vulnerabilidad consiste en que se puede tomar el control a distancia del automóvil o camión a través de un mensaje de texto (SMS).

• Algunos delincuentes informáticos lograron tomar el control remoto del «automóvil conectado» Jeep, lo que les permitió rastrear el vehículo, encender o apagar el motor y activar o desactivar los frenos, entre otras cosas.

  Es de suponer que Chrysler y la NSA también pueden hacerlo.

  Si posee un automóvil que contiene un teléfono móvil, desactivarlo sería una buena idea.

• Debido a fallos de seguridad en una bomba de infusión en los hospitales, los delincuentes informáticos podrían utilizarla para matar a los pacientes.

• Multitud de aplicaciones para teléfonos inteligentes utilizan métodos de autenticación inseguros al almacenar los datos personales en servidores remotos. Esto hace que la información personal, como direcciones de correo, contraseñas e información sanitaria, sea vulnerable. Dado que muchas de estas aplicaciones son privativas, es complicado o hasta imposible saber qué aplicaciones suponen un riesgo.

• Un investigador de seguridad calificó a las bombas de infusión Hospira, que se usan para suministrar medicamentos a los pacientes, como los dispositivos IP menos seguros que jamás haya visto.

  Dependiendo del tipo de medicamento que se administra, esta inseguridad podría permitir la perpetración de asesinatos.

• Mac OS X tuvo durante cuatro años una puerta trasera local intencional que los atacantes podían aprovechar para obtener privilegios de administrador.

• Una aplicación para evitar el «robo de identidad» (acceso a los datos personales), y que para ello guardaba los datos del usuario en un servidor especial, fue desactivada por su desarrollador al descubrir un fallo de seguridad.

  El desarrollador parece ser diligente con respecto a la protección de los datos personales frente a terceros en general, pero no puede proteger los datos frente al Estado. Todo lo contrario: confiar los datos personales a un servidor ajeno, si antes no han sido encriptados por uno mismo con software libre, socava nuestros derechos.

• Muchos de los equipos en los hospitales tienen una seguridad deficiente que puede llevar a la muerte.

• La inseguridad de WhatsApp facilita la interceptación de las comunicaciones.

• Algunas memorias flash contienen software modificable, lo que las hace vulnerables a los virus.

  No consideramos esto como una «puerta trasera» porque es normal que se pueda instalar un nuevo sistema en un ordenador cuando se tiene acceso físico a él. Sin embargo, las tarjetas de memoria y los USB no deben admitir este tipo de modificación.

• Unos terminales de puntos de venta que funcionan con Windows han sido atacados y convertidos en una botnet con el propósito de obtener los números de las tarjetas de crédito de los clientes.

• La NSA puede acceder a los datos de los teléfonos inteligentes, incluidos iPhone, Android y BlackBerry. Aunque el artículo no ofrece muchos detalles, parece que esto no sucede mediante la puerta trasera universal que sabemos que tienen casi todos los teléfono móviles. Parece que se hace aprovechando varios fallos. Hay multitud de fallos en el software de radio de los teléfonos.

• La NSA ha introducido puertas traseras en el software privativo de cifrado. No sabemos en cuáles, pero podemos estar seguros de que entre ellos hay sistemas ampliamente utilizados. Esto confirma que no podemos confiar en la seguridad del software que no es libre.

• La FTC (Comisión Federal de Comercio, para la tutela del consumador) ha sancionado a una empresa por haber construido cámaras web con seguridad deficiente que permiten a cualquiera mirar a través de ellas.

• Un programa privativo permite reescribir el software privativo reemplazable de algunos discos duros. Esto hace que cualquier sistema sea vulnerable a ataques persistentes que las herramientas de escaneo normales no detectarán.

• Es posible matar a personas tomando el control de los implantes médicos por radio. Para más información, véase BBC News y el blog de IOActive Labs Research.

• Las «casas inteligentes» resultan ser estúpidamente vulnerables a la intrusión.

• Algunos delincuentes informáticos encontraron la manera de quebrar la seguridad de un televisor «inteligente» y, a través de la cámara, observar a la personas que miran la televisión.

• Es posible tomar el control de ciertos ordenadores en los automóviles a través de malware en los archivos de música. También por radio. Para más información, véase Automotive Security And Privacy Center.