Usan cable USB como herramienta de ataque


Dos investigadores han demostrado cómo atacar portátiles y smartphones utilizando simplemente un cable USB normal y corriente.





Han sido Angelos Stavrou, profesor asistentes de la Universidad de George Mason, y Zhaohui Wang, estudiante del mismo centro, quienes han demostrado lo que se puede hacer con un cable USB durante la conferencia Black Hat DC.

Stavrou y Wang han escrito un software que cambia la funcionalidad del controlador USB de forma que pueda lanzar un ataque oculto mientras alguien está cargando el smartphone o sincronizando los datos entre un Smartphone y un ordenador.

Básicametne el exploit funciona añadiendo las funcionalidades de un teclado o ratón a la conexión de manera que un atacante pueda empezar a teclear comandos o hacer uso del ratón para robar archivos, descargar más malware o hacer cosas para tomar el control del ordenador. El exploit se crea porque, según han explicado los investigadores, el protocolo USB se puede utilizar para conectar cualquier dispositivo a una plataforma informática sin necesidad de autenticación.

El software que han escrito y permite crear el exploit identifica qué sistema operativo está funcionando en el dispositivo al que está conectado el cable USB. En Macintosh y Windows aparece un mensaje informando que el sistema ha detectado un dispositivo de interfaz humana, pero no hay una manera fácil de detener el proceso. En cuanto a Linux, los usuarios no tienen idea de que está ocurriendo algo extraordinario, sobre todo porque el teclado y ratón continúan funcionando normalmente durante el ataque, aseguran en News.com.

Los investigadores aseguran que el exploit también puede hacerse en Android e iPhone, que puede funcionar entre dispositivos que utilicen USB y que incluso es válido entre dos smartphones que conectan un cable USB entre ellos.

Inicialmente el ataque puede iniciarse descargando el exploit desde la web o ejecutando una aplicación que esté comprometida. En cuanto a los programas antivirus, los investigadores aseguran que no necesariamente pondrían fin al exploit porque no se puede decir que las actividades de de ese exploit no están controladas por el usuario.

Fuente:
por Rosalía Arroyo
http://www.itespresso.es/



Otras noticias de interés:

Microsoft cubrirá el martes una brecha crítica en Windows, pero no la vulnerabilidad de Excel
Microsof, siguiendo su proceso regular de actualizaciones de seguridad, lanzará el próximo martes tres conjuntos de parches . De ellos, al menos uno ha sido desarrollado para cubrir un agujero crítico; concretamente, en el sistema operativo Window...
Capturan en Canadá al autor del gusano Randex
La Real Policía Montada del Canadá anunció este miércoles la captura del presunto autor del gusano Randex. Se suma así otro nuevo eslabón en la cadena de acciones policiales contra los escritores d...
Vulnerabilidad body onLoad en Mozilla Firefox
Basada en la vulnerabilidad que afecta a Internet Explorer revelada en mayo de 2005 (ver 'DoS en IE producido por JavaScript body onLoad', http://www.vsantivirus.com/vul- iesp2-bodyonload-280505.htm), el 21 de noviembre de 2005 se hizo público u...
El 50% de los ataques a Internet proceden sólo de cuatro países
Un informe sobre el estado de Internet en el mundo revela que el 50% de los ataques de denegación de servicio que sufre la red proceden de sólo cuatro países: China, Estados Unidos, Taiwan y Venezuela. Asimismo, el informe, elaborado por la empres...
M2M: Cuando las máquinas hablan entre sí Comunicación M2M
No hace falta acudir a las historias de ciencia ficción que nos presentan películas futuristas como Matrix para percatarnos de que ya hay más máquinas que humanos en el planeta. Así lo atestiguan consulto...
Antes de pasar a manos de Oracle, Sun anuncia MySQL 5.4
Las cosas están cambiando rápidamente en la base de datos MySQL. El martes, al inicio de la MySQL Conference & Expo, Sun anunciaba nuevos planes de liberación. ...
¿En Argentina Violación de e-mails o hackeos de cuentas?
Más de treinta diputados Argentinos se comprometieron ayer a impulsar un proyecto de ley para penalizar la violación de los correos electrónicos, teniendo en cuenta que el hackeo y robo de e-mails sufrido por periodistas y funcionarios la semana p...
Facebook, acusada de violar ley de escuchas telefónicas en EEUU
La noticia llega a través de la demanda interpuesta por una mujer en Estados Unidos, la cual acusa a la red social de violar las leyes federales sobre escuchas telefónicas. La mujer argumenta que Facebook ha llevado a cabo un seguimiento de su hist...
En noviembre solo dos boletines de MS, uno crítico
Microsoft anuncia para este mes solo dos actualizaciones de seguridad, una de ellas crítica. ...
Descubren un troyano mutante para Android
La empresa de seguridad Kaspersky ha identificado una tercera variante del troyano FakePlayer SMS cuyo objetivo son los terminales móviles basados en el sistema operativo Android.que envía SMS con un coste de unos seis euros....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • cable
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • herramienta
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usan
  • usb
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra