Las conexiones USB hacen fácil el espionaje

La conexión USB, la interfaz más común utilizada a nivel mundial para conectar dispositivos externos a las computadoras, son vulnerables a la filtración de información, lo que las hace aún menos seguras de lo que se pensaba, según una investigación australiana.

Los investigadores de la Universidad de Adelaida probaron más de 50 computadoras diferentes y concentradores USB externos y descubrieron que más del 90% de ellos filtraban información a un dispositivo USB externo. Los resultados serán presentados en el simposio de seguridad USENIX en Vancouver, Canadá, la próxima semana.

“Los dispositivos conectados por USB incluyen teclados, lectores de tarjetas y lectores de huellas digitales que a menudo envían información sensible a la computadora”, dice el líder del proyecto, el Dr. Yuval Yarom , investigador asociado de la Facultad de Ciencias de la Computación de la Universidad de Adelaida .

“Se pensó que debido a que esa información solo se envía a través de la ruta de comunicación directa a la computadora, está protegida de los dispositivos potencialmente comprometidos.”

“Pero nuestra investigación demostró que si un dispositivo malicioso o uno manipulado se conecta a puertos adyacentes en el mismo concentrador USB externo o interno, se puede capturar esta información confidencial. Eso significa que las pulsaciones de teclas que muestran contraseñas u otra información privada pueden ser fácilmente sustraídas. “

El Dr. Yarom dice que esta fuga de diafonía de canal a canal “es análoga a la filtración de agua de las tuberías”. “La electricidad fluye como el agua a lo largo de las tuberías, y puede filtrarse”, dice. “En nuestro proyecto, demostramos que las fluctuaciones de voltaje de las líneas de datos del puerto USB se pueden monitorear desde los puertos adyacentes en el concentrador USB”.

La fuga fue descubierta por el estudiante de la Universidad de Adelaida, Yang Su, en la Facultad de Ciencias de la Computación, en colaboración con el Dr. Daniel Genkin (Universidad de Pensilvania y la Universidad de Maryland) y el Dr. Damith Ranasinghe (Auto-ID Lab, Universidad de Adelaida). Utilizaron una lámpara de complemento modificada de novedad barata con un conector USB para “leer” cada golpe de tecla desde la interfaz USB del teclado adyacente. La información se envió a través de Bluetooth a otra computadora.

El Dr. Yarom dice que otra investigación ha demostrado que si las memorias USB se caen al suelo, el 75% de ellas se recogen y se conectan a una computadora. Pero podrían haber sido manipulados para enviar un mensaje a través de Bluetooth o SMS a una computadora en cualquier parte del mundo.

“El mensaje principal que se lleva a casa es que las personas no deben conectar nada al USB a menos que puedan confiar plenamente en él”, dice el Dr. Yarom. “Para los usuarios, generalmente significa no conectarse a los dispositivos de otras personas. Para las organizaciones que requieren más seguridad, toda la cadena de suministro debe ser validada para garantizar que los dispositivos sean seguros. ”

Dr Yarom dice que la solución a largo plazo es que las conexiones USB deben rediseñarse para hacerlas más seguras.

“El USB se ha diseñado bajo la suposición de que todo lo que está conectado está bajo el control del usuario y de que todo es confiable, pero sabemos que ese no es el caso. El USB nunca será seguro a menos que los datos estén encriptados antes de enviarlos “.

[Con información de adelaide.edu.au]

Facebook Comments