En un esfuerzo por convencer a los fabricantes de unidades de bus serie universales para que mejoren la seguridad de su firmware, un equipo de investigadores de seguridad demostró lo fácil que es convertir las unidades de memoria USB en un instalador malicioso.
Además de eso, los investigadores Adam Caudill y Brandon Wilson han publicado las herramientas reales que utilizaron para convertir esas unidades en malware. El trabajo de convertir las unidades en instaladores maliciosos podría realizarse mediante un ataque de teclado, que los investigadores demostraron con una semejanza exacta durante una exhibición de Derbycon.
Las unidades de memoria USB con las que se encuentra que las herramientas empleadas por los investigadores utilizan el controlador Phison 2251-03, que además se ha descubierto que también se aplica a otros controladores que desarrolló la empresa Phison Electronics en Taiwán. En la actualidad, hay bastantes memorias USB que contienen los controladores Phison que son fácilmente accesibles en el mercado.
Al lanzar las herramientas para convertir las unidades de memoria USB en instaladores maliciosos, los investigadores de seguridad esperan impulsar a los fabricantes de USB a moverse y reforzar la protección del firmware de su unidad flash con nuevas actualizaciones y también insta a Phison a agregar soporte para actualizaciones firmadas en controladores USB que la empresa vende.
Pero, por supuesto, no solo Phison Electronics ofrece controladores USB a gran escala, también hay otros fabricantes, sino que son las manos de Phison las que Caudill y Wilson esperan ver primero la iniciativa para proteger los dispositivos.
Hasta cierto punto, el ataque se puede mitigar. Pero los investigadores de seguridad reconocieron el hecho de que la memoria USB del dispositivo en sí es difícil de combatir, ya que la computadora en miniatura tiene el control total sobre los eventos que ocurren dentro del USB, por lo tanto, la certeza de que podría estar diseñada para ocultar actividades maliciosas.
Como mínimo, los fabricantes de USB podrían requerir la instalación de actualizaciones de firmware firmadas en los controladores de los dispositivos para evitar alteraciones en el firmware una vez comprado por los usuarios. Aunque esto ha sido en la práctica entre muchos proveedores de USB, un número considerable de vendedores todavía no observa esta medida de seguridad.
Caudill y Wilson publicaron el código después de que se enteraron de la idea durante una demostración de otros investigadores de seguridad durante una conferencia de seguridad de Black Hat en Las Vegas, donde se demostró el llamado ataque BadUSB. Según la demostración, un ataque BadUSB permite que una memoria USB conectada a una computadora cambie su perfil y transmita datos de pulsaciones de teclas para instalar un malware o maniobrar la configuración de DNS.
