martes, 24 de marzo de 2015

Una herramienta de detección de hardware podría haber permitido instalar software malicioso en ordenadores Dell


Una herramienta proporcionada por la web de Dell para detectar que ordenador tiene el cliente (para ofrecerle las descargas y recursos adecuados para el mismo), podría haber permitido a usuarios malintencionados instalar malware de manera remota, una vulnerabilidad que fue reportada a Dell por Tom Forbes (un consultor de seguridad) en noviembre de 2014, y que fue corregida el pasado enero, según pública ComputerWorld hoy.

La aplicación, llamada Dell System Detect, y ofrecida a los usuarios cuando hacen click en "Detectar producto" en la sección de asistencia de la web de Dell, instalaba una servidor web que atendía a comandos Javascript desde la web de Dell a través del puerto 8884.

Para asegurarse de que está recibiendo ordenes de dicha web, la aplicación comprobaba si en la URL de la misma existía la palabra "dell", pero no distinguía realmente si estaba conectado a "dell.com", o a una web llamada "pepito.com/dell", por ejemplo.

Además, y aparte del sistema de detección de hardware, la herramienta contaba con otras funcionalidades que permitirían a un usuario malicioso descargar e instalar de manera silenciosa cualquier programa que desease, lo que constituye un importante agujero de seguridad, aun cuando dicha función requeriría una identificación, que Forbes consideró algo débil, y que de hecho se saltó durante sus pruebas.

Como comentaba al principio de la entrada, Dell ha actualizado esta herramienta, y ha subsanado el error, ofuscando el código del programa para evitar, en lo posible, que se pueda realizar ingeniería inversa, por lo que Tom Forbes no ha podido comprobar la efectividad o seguridad de dicha solución.

Podría ser que dicho parche consistiese, simplemente, en sustituir el texto de comprobación por "dell.com", lo que mejoraría la seguridad, pero no descartaría un posible acceso no autorizado, a través de un dominio tipo rodell.com, o algo parecido, aunque espero y deseo que los desarrolladores de dicha aplicación se hayan complicado la vida y hayan eliminado dicha función de instalación remota, la cual parece completamente innecesaria en una herramienta como esta.

Fuente: Tomforb.es via ComputerWorld.