Está disponible un completo análisis de la seguridad del
sistema operativo Palm OS, en el que se analizan sus
vulnerabilidades ante el código malévolo.
Los PDA (asistentes personales digitales) y, en general todos
los dispositivos de bolsillo, son especialmente vulnerables al
código malévolo debido a su popularidad y a la inexistencia de
una infraestructura de seguridad.
Los profesionales de la seguridad informática son conscientes
de la inseguridad de este tipo de dispositivos. No obstante,
en los últimos meses se han empezado a utilizar para funciones
críticas como son la generación de contraseñas de un solo uso
(por ejemplo, se puede utilizar un Palm para generar las
códigos de acceso de SecurID), el almacenamiento de
información altamente sensible (datos médicos o informaciones
confidenciales) e incluso el comercio electrónico. Por tanto,
no hay suficiente con asumir que todos los usuarios son
conscientes de las debilidades de seguridad de esta
plataforma y es necesario la realización de un completo
estudio que analice los riesgos que suponen la utilización de
estos dispositivos de bolsillo dentro de la infraestructura
global de seguridad.
En una comunicación presentada a la reunión de seguridad de la
asociación USENIX celebrada el pasado agosto en Washington DC,
Kingpin y Mudge de @stake analizan las características de
seguridad de los dispositivos que utilizan el sistema
operativo Palm OS. Se ha seleccionado esta plataforma en
concreto debido al importante segmento de mercado que
representan (cerca del 80% del total de asistentes personales
digitales).
El artículo analiza la arquitectura del sistema operativo Palm
OS y del hardware utilizado por los asistentes personales. Se
analiza la fortaleza de las contraseñas utilizadas para la
protección del acceso al dispositivo y la posibilidad de su
extracción y decodificación. También se analiza la
posibilidad de utilizar la conexión serie como una puerta
trasera y las posibilidades de infección por parte de código
malévolo (virus, gusanos y similares).
Por último se analizan las posibles actividades malévolas que
pueden lanzarse contra un PDA: eliminación de aplicaciones,
manipulación de registros, corrupción de la memoria, etc.
El texto de esta comunicación está disponible en formato PDF,
en inglés.
xavi@hispasec.com
Deja una respuesta