BlueBorne: vulnerabilidad de Bluetooth que afecta a 5.000 millones de dispositivos

La empresa de seguridad Armis ha descubierto un conjunto de ocho exploits que permiten vulnerar las conexiones de prácticamente cualquier dispositivo Bluetooth. A este nuevo vector de ataque le han llamado BlueBorne, y puede afectar a cualquier dispositivo que utilices, tanto smartphones como portátiles o dispositivos IoT.

El ataque no requiere que la víctima interactúe con el dispositivo atacante. Esto quiere decir que pueden tomar el control de tu dispositivo sin necesidad de que te conectes a ningún sitio concreto con él. Los investigadores que han descubierto este fallo ya se han puesto en contacto con los fabricantes afectados, por lo que aunque se calcule que haya alrededor de 5.000 millones de dispositivos vulnerables las soluciones para la mayoría de ellos no deberían tardar en llegar.

Como vemos en este vídeo que ha sido publicado por Armis para explicar el vector de ataque, la gran diferencia con respecto a la gran mayoría de exploits es que no es necesario que la víctima se conecte a ninguna web, que descargue ningún archivo con el que infectarse, ni que se empareje a ningún dispositivo concreto.

Simplemente vale con que tengas activado el Bluetooth para que un atacante pueda conectarse a tu dispositivo sin que te des cuenta a infectarlo con el malware que desee. Esto quiere decir que un dispositivo infectado con BlueBorne puede infectar a cualquier otro que tenga habilitado el Bluetooth a su alrededor, y que incluso una vez infectados estos dispositivos pueden propagar a su vez y sin querer el malware.

Después de una larga explicación, BlueBorne puede ser resumido en que solo requiere que el dispositivo Bluetooth (no parcheado) esté activado para ser llevado a cabo, y debido a que el protocolo se suele ejecutar con altos privilegios sobre el sistema operativo, esto abre la puerta a poder llevar a cabo ataques de todo tipo.

En este otro vídeo podemos ver cómo un atacante necesita poco más de un minuto para conectarse a un móvil Android que tiene a su lado. Una vez conectado puede tomar el control del dispositivo, abrir aplicaciones como la cámara de fotos y llevarse las fotos que saque, o instalar cualquier aplicación o malware que quiera sin que el dueño del móvil se de cuenta.

El proceso es el siguiente. El vector de ataque empieza encontrando los dispositivos que tiene a su alrededor, obligándoles a ceder información sobre ellos, e incluso a mostrar sus contraseñas. A continuación sólo tiene que conectarse al dispositivo, y una vez lo hace ya tiene total control para hacer ataques "man-in-the-middle" o todo lo que quiera.

Tal y como han explicado los investigadores, el ataque es posible debido a vulnerabilidades en el Bluetooth Network Encapsulation Protocol (BNEP), que es el que permite compartir Internet a través de una conexión Bluetooth (conexión). Este fallo permite desencadenar una corrupción de la memoria y ejecutar código en el dispositivo otorgándole un control total.

Vulnerables prácticamente todos los sistemas

En las pruebas internas realizadas por el grupo de investigación que descubrió la vulnerabilidad consiguieron tomar el control de dispositivos Android como los Google Pixel, Samsung Galaxy, Galaxy Tab, LG Watch Sport o el sistema Pumpkin de audio en el coche. También en otros dispositivos Linux como los Samsung Gear 3 o Smart TV de Samsung, todos los iPhone, iPad e iPod Touch con iOS 9.3.5 en adelante y dispositivos AppleTV con su versión 7.2.2.

También lo han probado con éxito en ordenadores con versiones de Windows a partir de Windows Vista, y con todos los dispositivos GNU/Linux a partir de la versión 3.3-rc1 del Kernel lanzada en octubre del 2011. Vamos, que en este caso no hay debate sobre qué sistema operativo es más seguro porque todos son vulnerables.

Los investigadores de Armis avisaron a Google y Microsoft el pasado 19 de abril, a Apple y el equipo de Linux en agosto, y a Samsung en repetidas ocasiones en abril, mayo y junio. Google, Microsoft y el equipo de seguridad del Kernel de Linux ya han respondido divulgando el problema de forma coordinada entre sus desarrolladores. Samsung por su parte todavía no ha respondido.

En cuanto a Apple, desde la empresa de Cupertino han asegurado que la vulnerabilidad no afecta a las últimas versiones de sus sistemas. Esto quiere decir que si tienes tu iPhone actualizado no deberías tener problemas, aunque si tienes un dispositivo que ya no recibe actualizaciones de software deberías extremar las precauciones.

Actualizaciones

Microsoft ya ha publicado el parche que corrige BlueBorne en los sistemas operativos Windows como parte del conjunto de parches de seguridad publicado el pasado martes. En lo que respecta a Apple, los dispositivos actualizados a la versión más reciente de iOS 10 están a salvo y Windows Phone tampoco se ha visto afectado, sin embargo, la cosa cambia sin empezamos a referirnos a Linux.

En lo que se refiere al sistema Linux para PC y servidores, las actualizaciones que corrigen las vulnerabilidades ya están disponibles a través de los repositorios de las distribuciones con soporte (Ubuntu, Fedora, Debian… ), sin embargo, el panorama cambia radicalmente cuando nos referimos a Android, ya que según Armis, solo el 45% de los dispositivos que usan el sistema de Google se pueden parchear, ya que el resto no recibe actualizaciones por parte de su fabricante.

Sí, volvemos a toparnos con los problemas de seguridad derivados del escaso soporte ofrecido por muchos fabricantes de smartphones.

Para comprobar si su móvil Android es vulnerable, la propia empresa Armis hizo público una aplicación en Google Play para comprobarlo. Esta aplicación no sólo comprueba si su terminal es vulnerable, sino que comprueba también en todos los terminales con Bluetooth a los que tenga alcance. En el caso de que Armis estuviese guardando esta información, estaría generando una formidable base de datos sobre dispositivos vulnerables que sería interesante que compartiesen. De esta forma, fabricantes y comunidad podrían sacar parches que corrijan, o al menos mitiguen cuando no sea posible corregir la vulnerabilidad.

Actualización 20/09: han publicado una PoC de explotación de la vulnerabilidad en Android.

Fuente: Xataka

Suscríbete a nuestro Boletín