Falha grave em periféricos USB pode significar anos e anos de insegurança

3 out 2014 08:14

Este artigo tem mais de 10 anos

Em julho dois investigadores disseram ter descoberto uma falha de segurança no firmware dos dispositivos USB, mas na altura não foi revelado o código para que a vulnerabilidade não pudesse ser explorada. Até agora.

Outros dois investigadores, Adam Caudill e Brandon Wilson, descobriram a mesma falha de segurança que tinha sido anunciada em julho, mas ao contrário do que tinha sido feito anteriormente, decidiram partilhar o código da falha para toda a Internet. Dizem Adam e Brandon que desta forma acreditam estar a colocar pressão sobre a indústria para que haja uma resolução mais rápida do problema.

Em causa está uma falha em periféricos USB – sejam unidades de armazenamento, ratos, teclados, candeeiros ou qualquer outro tipo de acessórios – que permite que um pirata informático possa explorar as informações dos utilizadores. O problema foi detetado ao nível do firmware do protocolo e seria preciso uma “revolução” para que fosse totalmente sanado.

É por este motivo e pelo facto de os periféricos USB existirem aos milhões que é possível que os próximos anos sejam classificados de insegurança constante. O malware que pode ser injetado pelos crackers não é detetado pelos sistemas de segurança, o que potencia uma utilização mais despreocupada.

A falha BadUSB, como é apelidada, foi demonstrada em ação por Adam Caudill e Brandon Wilson durante uma apresentação numa conferência dedicada ao hacking. Por exemplo, é possível um pirata informático ganhar total acesso ao teclado de uma pessoa. Além do registo de informações, os crackers podem digitar comandos e códigos que abrem portas a outros variáveis de malware no computador.

"Tens que provar ao mundo que é prático, que qualquer pessoa o pode usar", justificou um dos investigadores a propósito da partilha do código, citado pelo The Verge.

A única forma de resolver o problema é criar uma nova "malha" de segurança em torno do firmware do protocolo USB. Seria necessária toda uma nova geração de produtos USB. E isso significa que durante os próximos anos os utilizadores viverão em constante insegurança.

A próxima vez que for a um evento e lhe oferecerem um pen USB, esse já não será um "presente" tão ingénuo como poderia parecer noutros tempos. Agora a "bola" está do lado da indústria que ou pode tentar responder à vulnerabilidade ou pode deixar centenas de milhões de dispositivos desprotegidos.