Su tarjeta SD, un nuevo alojamiento para el malware

EmpresasSeguridadVirus

Descubren un sistema para hackear los microcontroladores de las tarjetas SD, instalando un malware que intercepta los datos privados de los que las usan.

Dos investigadores de seguridad informática han encontrado una manera de hackear tarjetas SD, la forma más común de las tarjetas de memoria flash que se utilizan para almacenar datos de teléfonos móviles y cámaras digitales, y ejecutar en ellas un software que intercepta los datos de sus usuarios.

El método para instalar software malicioso en las tarjetas consiste en hackear los pequeños chips controladores de estos dispositivos de almacenamiento. Según explicaron Andrew Bunnie Huang y Sean Xobs Cross en el Chaos Computer Congress (30C3), una persona puede ejecutar el malware en la propia tarjeta de memoria. Eso es porque las tarjetas tienen pequeños microcontroladores integrados que se utilizan para supervisar los detalles del almacenamiento de datos.

Como resultado, los datos privados de las personas que usan estas tarjetas podrían quedar expuestos. “Es un escenario perfecto para un ataque man-in-the-middle (en el que el atacante puede observar e interceptar mensajes entre las dos víctimas)”, dijo Huang durante la charla. “El enfoque actual del almacenamiento de memoria flash ha  invitado a alguien a sentarse en medio de nuestros datos, y sólo confiamos en ellos para hacer lo que quieren hacer”, continuó.

Huang y Cross creen que este tipo de ataque podría utilizarse para copiar secretamente o modificar datos confidenciales, como claves de cifrado, o para subvertir los procesos de autenticación mediante la sustitución de un archivo no autorizado para su ejecución en lugar del archivo real que fue autorizado, informa CNET.

Esta vulnerabilidad funciona, en principio, no sólo con tarjetas SD, sino también con otros dispositivos de almacenamiento basados en memoria flash, como los SSD, que se usan en lugar de los tradicionales discos duros en los ordenadores portátiles y de escritorio, y los eMMC, empleados en los teléfonos móviles. El agujero concreto hallado por Huang y Cross no se aplica a todos los dispositivos de memoria flash porque depende del microcontrolador específico usado. Sin embargo, consideran que el enfoque es generalmente eficaz, ya que todos los dispositivos flash se basan en este tipo de controladores.

Leer la biografía del autor  Ocultar la biografía del autor