¿Qué haríais si descubrís una vulnerabilidad en un software que es parte fundamental de millones de coches (o motos) y dispositivos santiario? En BlackBerry no dijeron ni pío: sabían que su sistema operativo en tiempo real, QNX, podía estar afectado, pero prefirieron negar cualquier problema.
Meses después las presiones de organismos gubernamentales han hecho que la empresa admita que efectivamente QNX está afectado. La vulnerabilidad permite a un atacante ejecutar código arbitrario en los dispositivos afectados para inutilizarlos, y eso es especialmente grave cuando ese software está instalado en más de 200 millones de coches y también en equipamiento hospitalario.
Solo en versiones antiguas de QNX RTOS, pero...
El problema afecta a versiones de QNX RTOS de 2012 y anteriores y por lo tanto las versiones modernas del sistema operativo, que como indica el sitio web oficial tienen un amplio alcance en el mundo de la automoción, están a salvo.
Aún así en CISA aseguran que el software se usa en un amplio catálogo de productos y de verse comprometidos, eso podría representar "un riesgo creciente para funciones críticas de la nación [estadounidense]".
De momento no parecen haberse detectado casos de que la vulnerabilidad haya sido explotada, y tampoco la FDA ha detectado problemas entre los fabricantes de equipos médicos que podrían haberse visto afectados.
... el problema está en cómo BlackBerry ha afrontado el problema
La cuestión no es tanto esa (que también) sino la actitud de BlackBerry, que ha escondido el problema y hasta hace poco no ha hecho la llamada "revelación responsable" de información de seguridad y vulnerabilidades.
El pasado mes de abril Microsoft avisó de la presencia de una vulnerabilidad llamada BadAlloc que afectaba a diversas versiones de sus sistemas operativos. El problema era grave, pero en Microsoft trabajaron junto al CISA (Cybersecurity and Infrastructure Security Agency) en EE.UU. para resolverlo y alertar a las agencias y organismos de que actualizaran sus sistemas cuando se publicó el parche poco después.
Dos personas cercanas a las discusiones entre BlackBerry y los expertos de ciberseguridad del gobierno de EE.UU. revelaban en Politico cómo la empresa inicialmente negó cualquier impacto en sus productos. Sus responsables no creían que BadAlloc afectase a sus productos a pesar de que los expertos de CISA creían que sí.
Precisamente fue la presión de CISA la que hizo que finalmente BlackBerry admitiera que la vulnerabilidad existía. A pesar de ello siguieron sin hacer nada porque no sabían exactamente dónde podría presentarse el problema. La empresa licencia QNX a OEMs, que luego integran ese sistema operativo en dispositivos para sus clientes.
En BlackBerry le dijeron al gobierno que no sabían dónde acababa su software, y que no tenían intención de hacer un anuncio público: la idea era avisar en privado a los clientes potencialmente afectados.
Finalmente BlackBerry hizo ese anuncio público ayer (ahora parece haber desaparecido, pero es posible recuperarlo vía Internet Archive) y a su vez CISA también publicaba una alerta que precisamente estaba centrada en cómo BadAlloc afectaba a QNX RTOS.
La propia BlackBerry anunció en junio cómo QNX RTOS está embebido en 195 millones de vehículos de fabricantes como BMW, Ford, Honda, Mercedes-Benz, Toyota o Volkswagen, pero su alcance es aún mayor y hay otros segmentos en los que este sistema operativo es también fundamental.
Eso es lo que precisamente hace tan peligrosa la actitud de una BlackBerry que debería haber sido mucho más responsable con el problema. COmo explicaba Trey Herr, director de la Cyber Statecraft Initiative del Atlantic Council, "comprar el software es solo el comienzo de la transacción. No es su final".
Vía | Político
Ver 12 comentarios
12 comentarios
xenride
Estamos hablando de la misma empresa que en su momento le había entregado a la NSA y a distintos entes gubernamentales una puerta trasera de su app de chat BB Messenger. Comprometiendo la privacidad de muchos usuarios que usaron este servicio en su momento y, para mayor descaro, los años que pasaron alardeando de tener una seguridad y privacidad envidiables.
franciscojoaquin.gar
y aquí tenemos el ejemplo 1 millón de por que la seguridad por ocultación no funciona, para todos los que dicen que el software libre es inseguro
moloeloba
La empresa que desarrolla y licencia QNX se llama RIM. Y si, en efecto es la antigua dueña de la marca BlackBerry. Pero eso ya no es así, la división de teléfonos con teclado con cierto pulido de seguridad y privacidad ya va de mano en mano por otras marcas.
Por otro lado, QNX es un sistema con una arquitectura de Micro Kernel. Y aunque no sé los detalles de lo que ha pasado, en sistemas operativos con esta estructura, las vulnerabilidad no funcionan de la misma forma que en sistemas como Windows o Linux. Lo digo por la comparación que se hace con cómo actuó Microsoft. En resumen y para no entrar en detalles, que es mucho más complicado comprometer QNX que Windows... .