Cuidado con tu cable USB-C: un estudio revela que se ha convertido en el arma favorita de los hackers

  • Apple se vio obligada a utilizar el puerto USB-C en sus iPhone, y ahora se encuentra con un problema

  • Una vulnerabilidad en el controlador de estos puertos permite extraer el firmware

  • De momento no es fácil explotar el problema, pero desde luego plantea una amenaza potencial

U1
2 comentarios Facebook Twitter Flipboard E-mail

Un investigador de ciberseguridad llamado Thomas Roth ha desvelado recientemente varias vulnerabilidades en el controlador USB-C utilizado por Apple en los iPhone 15 y iPhone 16. De momento no hay voces de alarma debido a la complejidad del método, pero la amenaza está ahí.

Un puerto USB-C para dominarlos a todos. En 2021 la Unión Europea decidió exigir que el puerto USB-C se convirtiera en el único permitido para cargar dispositivos móviles. La nueva normativa se aprobó en 2022 y haría obligatorio el uso exclusivo de USB-C a partir de finales de 2024. Apple se mostró reticente, pero acabó adoptando el estándar antes incluso, en septiembre de 2023, con los iPhone 15.

USB-C, tenemos un problema. Como señalan en TechSpot, el investigador Thomas Roth desveló una serie de vulnerabilidades presentes en el controlador del puerto USB-C. Presentó sus conclusiones en el evento Chaos Communication Congress en Hamburgo el mes pasado, y allí demostró cómo por ejemplo era posible "dumpear" el firmware, es decir, extraerlo para tener una copia guardada de forma externa, algo que teóricamente no debería ser posible hacer a través de este puerto.

Tranquilos. Que se sepa, de momento no se han aprovechado dichas vulnerabilidades, pero los datos del estudio dejan claro que acceder al firmware del controlador de este puerto para ejecutar código es técnicamente posible. Eso podría darle a los hackers una opción para atacar estos dispositivos de Apple.

Pero. Aun así, este tipo de vulnerabilidad permite a los actores maliciosos tener la oportunidad de analizar el código de ese firmware extraído para encontrar vulnerabilidades y desarrollar exploits con las que sacar partido de ellas. Según TechSpot, Apple no ha tomado medidas al respecto porque considera que los métodos utilizados por Roth son demasiado complejos.

Cables que son mucho más de lo que parecen. Ya hemos hablado en el pasado de cómo algunos cables USB-C esconden mucho más de lo que parece. Los análisis por tomografía como los realizados por Lumafield revelaron recientemente cómo algunos cables esconden en su cabezal componentes como microcontroladores o antenas inalámbricas que convierten estos cables en dispositivos perfectos para realizar ciberataques. Con ellos sería posible ejecutar código malware o de keylogging en estos dispositivos para espiarlos y extraer todo tipo de datos.

En Xataka | El USB-C de los iPhone 15 nos recuerda algo importante: la industria necesita etiquetar los cables de una vez por todas

Inicio