Fallo crítico afecta a millones de dispositivos IoT

fallo críticoInvestigadores de Bishop Fox Dan Petro y Allan Cecil, publican un estudio que demuestra un fallo crítico afecta a millones de dispositivos IoT (Internet de las cosas).

Básicamente, todos los dispositivos IoT con un generador de números aleatorios (RNG) por hardware, contienen una vulnerabilidad que afecta a la generación números aleatorios, lo que perjudica su seguridad y los pone en riesgo de ataques.

Cuando se trata de dispositivos IoT, el hardware integrado (SoC) proporciona un periférico RNG dedicado, llamado generador de números aleatorios verdaderos (TRNG). Se utiliza para capturar la aleatoriedad de los procesos físicos. En los sistemas operativos tradicionales, se deriva de un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG), que utiliza la entropía obtenida de una fuente de alta calidad.

Los investigadores observaron la falta de comprobaciones de las respuestas de los códigos de error en todo los ámbitos, lo que lleva a un escenario en el que el número aleatorio generado simplemente no es aleatorio y, lo que es peor, predecible, ello da lugar a una entropía parcial, a una memoria no inicializada e incluso a claves criptográficas que contienen simplemente ceros.

Sólo son capaces de producir un número determinado de bits aleatorios por segundo. Si intentas llamar a la función HAL del RNG cuando no tiene ningún número aleatorio que darte, fallará y devolverá un código de error. Por lo tanto, si el dispositivo intenta obtener demasiados números aleatorios demasiado rápido, las llamadas comenzarán a fallar.

por Marcelo Sosa

Te a gustado este artículo?

¡Compártelo con tus amigos!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.