¿Qué haríais si descubrís una vulnerabilidad en un software que es parte fundamental de millones de coches (o motos) y dispositivos santiario? En BlackBerry no dijeron ni pío: sabían que su sistema operativo en tiempo real, QNX, podía estar afectado, pero prefirieron negar cualquier problema.
Meses después las presiones de organismos gubernamentales han hecho que la empresa admita que efectivamente QNX está afectado. La vulnerabilidad permite a un atacante ejecutar código arbitrario en los dispositivos afectados para inutilizarlos, y eso es especialmente grave cuando ese software está instalado en más de 200 millones de coches y también en equipamiento hospitalario.
Solo en versiones antiguas de QNX RTOS, pero...
El problema afecta a versiones de QNX RTOS de 2012 y anteriores y por lo tanto las versiones modernas del sistema operativo, que como indica el sitio web oficial tienen un amplio alcance en el mundo de la automoción, están a salvo.
Aún así en CISA aseguran que el software se usa en un amplio catálogo de productos y de verse comprometidos, eso podría representar "un riesgo creciente para funciones críticas de la nación [estadounidense]".
De momento no parecen haberse detectado casos de que la vulnerabilidad haya sido explotada, y tampoco la FDA ha detectado problemas entre los fabricantes de equipos médicos que podrían haberse visto afectados.
... el problema está en cómo BlackBerry ha afrontado el problema
La cuestión no es tanto esa (que también) sino la actitud de BlackBerry, que ha escondido el problema y hasta hace poco no ha hecho la llamada "revelación responsable" de información de seguridad y vulnerabilidades.
El pasado mes de abril Microsoft avisó de la presencia de una vulnerabilidad llamada BadAlloc que afectaba a diversas versiones de sus sistemas operativos. El problema era grave, pero en Microsoft trabajaron junto al CISA (Cybersecurity and Infrastructure Security Agency) en EE.UU. para resolverlo y alertar a las agencias y organismos de que actualizaran sus sistemas cuando se publicó el parche poco después.
Dos personas cercanas a las discusiones entre BlackBerry y los expertos de ciberseguridad del gobierno de EE.UU. revelaban en Politico cómo la empresa inicialmente negó cualquier impacto en sus productos. Sus responsables no creían que BadAlloc afectase a sus productos a pesar de que los expertos de CISA creían que sí.
Precisamente fue la presión de CISA la que hizo que finalmente BlackBerry admitiera que la vulnerabilidad existía. A pesar de ello siguieron sin hacer nada porque no sabían exactamente dónde podría presentarse el problema. La empresa licencia QNX a OEMs, que luego integran ese sistema operativo en dispositivos para sus clientes.
En BlackBerry le dijeron al gobierno que no sabían dónde acababa su software, y que no tenían intención de hacer un anuncio público: la idea era avisar en privado a los clientes potencialmente afectados.
Finalmente BlackBerry hizo ese anuncio público ayer (ahora parece haber desaparecido, pero es posible recuperarlo vía Internet Archive) y a su vez CISA también publicaba una alerta que precisamente estaba centrada en cómo BadAlloc afectaba a QNX RTOS.
La propia BlackBerry anunció en junio cómo QNX RTOS está embebido en 195 millones de vehículos de fabricantes como BMW, Ford, Honda, Mercedes-Benz, Toyota o Volkswagen, pero su alcance es aún mayor y hay otros segmentos en los que este sistema operativo es también fundamental.
Eso es lo que precisamente hace tan peligrosa la actitud de una BlackBerry que debería haber sido mucho más responsable con el problema. COmo explicaba Trey Herr, director de la Cyber Statecraft Initiative del Atlantic Council, "comprar el software es solo el comienzo de la transacción. No es su final".
Vía | Político
Ver 12 comentarios