martes, 22 de julio de 2008

Blackberry al estrado por vulnerable.

Esta semana le toca el turno a BlackBerry ya que según información de Secunia, diversos "smartphones" de este fabricante resultan afectados. Sé que diario emergen decenas de debilidades, pero ésta llamó mi atención ahora que al parecer está de moda lo "móvil". La cuestión es que al abrir un archivo PDF (especialmente diseñado) se puede ejecutar código no deseado en el "smartphone". Basta con que un atacante se de a la tarea de crear este PDF "maligno". No se sabe de código de explotación y ya hay parches disponibles; especialmente los usuarios empresariales deben estar atentos a este aviso.

Algunas reflexiones:
1.- Los dispositivos móviles son cada vez más populares y tienen cada vez más poder de cómputo; esto los ha vuelto objetivos apetecibles sobre todo por la información que pueden manejar o porque sirven de plataforma para lanzar ataques. Mi predicción es que veremos un incremento (realmente un incremento) en las debilidades y ataques para dispositivos móviles; estamos viendo el inicio.

2.- Para variar, el fabricante pide a los usuarios "abrir este tipo de archivos sólo de fuentes confiables" o de plano "no permitir la apertura de archivos PDF". Estoy cansado de este tipo de advertencias ridículas. ¿Por un error de programación del fabricante debo dejar de abrir archivos PDF? ¿Entonces para qué me compré un dispositivo de este tipo? ¿Por un error de programación debo ahora YO ser cauteloso y abrir archivos PDF de fuentes confiables? ¿Por qué le transfieren al cliente la responsabilidad? ¿Qué es una fuente confiable después de todo? Si me llega un archivo PDF de un amigo debo de abrirlo aunque el dispositivo de mi amigo esté infectado y el mensaje lo haya enviado un código malicioso automáticamente?

Conclusión: yo pienso que en lugar de hacer recomendaciones del tipo "no abras archivos" o "abre archivos confiables", la verdad deberían decir algo más inteligente o de plano decir que por el momento no hay solución y que están trabajando en un parche. Mejor aún, que diseñen y codifiquen bien su software para evitar estas situaciones. Ya nada más falta que nos digan que de plano apaguemos el "smartphone" hasta nuevo aviso.

El aviso de Secunia:
http://secunia.com/advisories/31092/