Buone notizie: la falla BadUSB emersa ad agosto che coinvolge il noto protocollo e pubblicata - seppur in parte e da altri ricercatori - affligge solo la metà dei dispositivi che si collegano alla porta USB. La cattiva? Non possiamo sapere quale siano i prodotti sicuri e quelli insicuri. Lo scrive Andy Greenberg sull'edizione statunitense Wired, sottolineando che per sapere se un prodotto è a rischio è necessario aprirlo e vedere quale chip ha all'interno - e ovviamente non è possibile farlo, almeno non sempre.
Karsten Nohl, il ricercatore che ha sollevato il problema ad agosto, ha discusso degli ultimi sviluppi della sua ricerca alla conferenza PacSec di Tokyo, spiegando di aver analizzato ogni controller USB venduto dagli otto principali produttori (Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress e Microchip) per vedere se l'hack ideato funzionava con ogni chip o no. In principio la ricerca aveva riguardato solo Phison.
Circa la metà dei chip è risultata immune all'attacco, ma sapere quale chip usa un dispositivo è praticamente impossibile per il consumatore medio, quindi effettivamente il problema rimane. "Non è che se collegate una chiavetta USB al vostro computer questo vi dica che ha un controller Cypress, e che nell'altra c'è un chip Phison", afferma Nohl. "Non potete controllare davvero se non aprendo il dispositivo e fare l'analisi voi stessi… Il problema è che non possiamo distribuire un elenco di dispositivi sicuri".
La vulnerabilità, lo ricordiamo, sfrutta la riprogrammabilità del firmware del chip di controllo del dispositivo USB. La riprogrammazione è quasi impossibile da rilevare, a meno che non si sappia dove guardare, secondo i ricercatori. In questo modo un prodotto USB può essere presentato sotto una classificazione differente. Un malintenzionato, ad esempio, potrebbe riprogrammare una chiavetta USB in modo che si mascheri come un controller di rete, facendo sì che tutte le comunicazioni - siti web visitati, password, eccetera - siano reindirizzate al dispositivo.
I ricercatori hanno scoperto che tutti i controller della taiwanese Phison sono vulnerabili alla riprogrammazione. Non è così per le soluzioni di ASMedia. Le proposte USB 2.0 di Genesys sono risultate immuni, mentre non quelle USB 3.0 e così via. Sapere qual è il fornitore di controller USB del produttore del dispositivo che acquistate potrebbe essere utile, ma non sempre.
Kingston, ad esempio, si rivolge a cinque o sei aziende per i controller USB delle sue chiavette, ha spiegato il ricercatore. Tra le soluzioni che i produttori potrebbero adottare contro BadUSB c'è la possibilità di dire in modo chiaro quale chip c'è all'interno del prodotto, ma difficilmente qualcuno lo farà. Un'azienda, Ironkey (di proprietà di Imation) ha tuttavia scelto una strada differente. Richiede infatti che ogni aggiornamento firmware sia accompagnato da una firma crittografica non falsificabile in modo da impedire una riprogrammazione dannosa. Secondo Nohl altri produttori potrebbero seguire questo modello.