Investigadores descubren una vulnerabilidad que podría afectar a todos los códigos del mundo

Investigadores de la Universidad de Cambridge han descubierto una falla de seguridad que pondría en riesgo de ataques a todo el código informático que existe como lo conocemos. La falla se encuentra en los compiladores de codificación, que podrían ser intervenidos para modificar los códigos que producen de una forma casi imperceptible.

Los compiladores de codificación se encargan de traducir los códigos escritos por los programadores –en Java, Python, C++, etc.– desde sus teclados a un código binario que la computadora sea capaz de reconocer. De este modo, funcionan como traductores e intermediarios entre el programador y la computadora. La falla se encuentra, de forma específica, en el algoritmo bidimensional (Bidi) de Unicode que muestra los caracteres de una forma legible.

Los investigadores explicaron que los compiladores de codificación podrían ser alterados “para producir códigos fuentes con tokens que están cifrados en un orden diferente al que dicen tener”. Por lo tanto, las modificaciones quedan ocultas a simple vista y ésta se convierte en una amenaza muy difícil de detectar. La Universidad de Cambridge tituló su investigación “Trojan Source: vulnerabilidades invisibles”, destacando la dificultad de detección de esta amenaza y bautizando al exploit con el nombre de “Trojan Source”.

Según los investigadores, la amenaza también es fácil de explotar y se encuentra en todos los compiladores de codificación, por lo que un solo exploit podría afectar a casi todos los códigos del mundo. “Esta vulnerabilidad es, hasta donde sé, la primera que afecta a casi todo” explicó Ross Anderson, coautor de la investigación.

“Puedes usarla en códigos fuentes que parezcan inofensivos para la persona que los revisa, pero que en realidad tenga finalidades maliciosas”, indicó Anderson. Esto afectaría en gran manera a proyectos como Linux y Webkit, que aceptan contribuciones de personas desconocidas y las revisan de forma manual para incorporarlas a códigos críticos.

Los investigadores han sugerido que se implemente una serie de medidas para proteger los compiladores de codificación de esta amenaza, y muchas de las entidades involucradas se han comprometido a desarrollar parches para abordar el problema. “El hecho de que la vulnerabilidad Trojan Source afecte a casi todos los lenguajes informáticos la convierte en una oportunidad especial para comparar las respuestas de las empresas a lo largo y ancho de las plataformas y sistemas”, dice el informe.

Fuentes

‘Trojan Source’ Bug Threatens the Security of All Code Krebs on Security
Most Computer Code Compilers Vulnerable to Novel Attacks Infosecurity Magazine
Pretty Much All Computer Code Can Be Hijacked by Newly Discovered ‘Trojan Source’ Exploit Gizmodo