¿Qué pasa si en lugar de limpiar un dispositivo robado con su confiable herramienta de administración móvil remota, descubre un día que la mesa se ha vuelto contra usted y es su teléfono el que ha sido borrado de todos los datos almacenados en él?
Este es el riesgo que enfrentan los directores ejecutivos y ejecutivos de empresas que utilizan la aplicación de gestión remota Afaria de SAP. Actualmente, miles de ejecutivos de alto nivel gestionan los dispositivos móviles que utilizan sus empleados a través de Afaria.
Pero una vulnerabilidad de seguridad crítica descubierta en la aplicación por investigadores de ERPScan está permitiendo a los piratas informáticos borrar los datos contenidos en un teléfono móvil e incluso robar datos y localizar el puesto del ejecutivo.
Afaria funciona al permitir que los administradores del sistema transmitan un mensaje de texto firmado desde el servidor de Afaria cuando es necesario limpiar un teléfono, desbloquearlo, bloquear al usuario o hacer que algunas de sus funciones sean disfuncionales. Se descubrió que esta misma firma utilizada por los líderes empresariales contiene una falla de seguridad que permite a los atacantes tomar el control y, en su lugar, limpiar el teléfono del ejecutivo.
La firma se basa en el IMEI del dispositivo móvil, la identificación del transmisor y el valor de LastAdminSession, que muestra la hora más reciente cuando el dispositivo se conectó al servidor de Afaria. El IMEI y el número de teléfono del usuario son todo lo que se necesita para realizar el hack.
Es difícil creer que SAP pueda ser víctima de este tipo de vulnerabilidad, dado el tamaño de la empresa y el alcance de su mercado. Afaria se encuentra entre los principales productos de gestión remota utilizados por los directores ejecutivos y ejecutivos de c-suite. Más de cien millones de dispositivos móviles están expuestos a la vulnerabilidad, y estamos hablando no solo de un único sistema operativo móvil, sino de todos ellos: Windows Phone, iOS, Android y BlackBerry.
Mientras hablamos, ya existe una solución para la vulnerabilidad de los usuarios de Afaria. Pero algunos analistas de seguridad creen que podrían existir otras vulnerabilidades en los sistemas SAP y que podrían pasar desapercibidas durante meses e incluso años. La única barrera para implementar un parche de seguridad es su impacto en la operatividad, por lo que a veces se desalienta a las empresas a instalar las actualizaciones de SAP para este asunto.
Pero hay otra vulnerabilidad que ERPScan detectó en el sistema Afaria. Se trata de claves de cifrado codificadas de forma rígida y secuencias de comandos entre sitios que son susceptibles a los piratas informáticos, ya que pueden utilizarse para permitir la entrada de código malicioso en la consola administrativa de Afaria.
No podría haber ningún problema con limpiar su teléfono, especialmente si ha implementado un software de respaldo de datos.
