Las
cafeteras de la marca Keurig 2.0 se ven afectadas por una vulnerabilidad en
los mecanismos de verificación de la autenticidad de las cápsulas monodosis de
café, conocidas como K-Cups. Esto podría permitir realizar ataques de
suplantación través de la reutilización de una cápsula verificada previamente.
La vulnerabilidad, con un CVSS de
4,9, reside en retirar con cuidado con ayuda de un cuchillo o unas tijeras la lámina
completa de la tapa de una cápsula K-Cup genuina, asegurándose de mantener los
bordes completos intactos. Colocando posteriormente con cuidado la tapa de la
cápsula recortada, sobre una cápsula falsa el proceso de verificación entenderá
que se trata de una cápsula genuina, y permitirá el uso de la cafetera con la
cápsula falsificada.
El problema ha sido anunciado por el investigador Ken Buckler, de Caffeine
Security, que ha publicado en http://www.keurighack.com/
un vídeo (que sirve como prueba de concepto) en el que demuestra la vulnerabilidad.
A falta de una corrección para
esta vulnerabilidad, el investigador recomienda a los propietarios de sistemas Keurig
2.0 tomar medidas adicionales para asegurar el dispositivo, como mantener el
dispositivo en un armario cerrado con llave, o el uso de un cable de seguridad
para evitar que el dispositivo sea empleado por usuarios no autorizados.
Más información:
Keurig 2.0 Genuine K-Cup Spoofing Vulnerability
keurighack.com
Antonio Ropero
Twitter: @aropero
Muy buena
ResponderEliminarbuena inocentada jaja
ResponderEliminarTambien se ha realizado la prueba de concepto inversa, intercambiando el circuito IC2342-V1 con el de otra cafetera idéntica (hay que comprobar que la versión del circuito sea la correcta, el realizar el intercambio con la IC2342-V2 lleva a una destrucción de la electrónica, lo cual transferiria ambas cafeteras al modo fall-back llamado "sock coffee".
ResponderEliminarEl modus operandi, para la aprovechar la vulnerabilidad consiste en hacer un primer café con la capsula A y la cafetera 1 metida en una jaula de Faraday, en forma que no pueda comunicar los parámetros de uso a al parque de servidores de Keurig. Inmediatamente, sustituir el circuito integrado por el de otra cafetera idéntica. Se procede a solicitar un segundo café, y el sistema no detecta la reutilización de la cápsula. El café que se obtiene no tiene la calidad del primero, hay incluso expertos catadores que lo han llegado a calificar como "clean dish water".
Se ha notificado la vulnerabilidad a Microsoft, a Google, y al Ministerio de Industria, Energía y Turismo, ya que afecta a Telecomunicaciones y a Turismo tambien, ya que no hay peor promocion de la "marca España" que el hacer carajillos de coñac garrafón y café de recuelo
Buen intento xD
ResponderEliminarMás allá del tono humorístico con el que está redactado el aviso, el fallo es real. Incluso cabe realizar algún otro tipo de análisis. Esto en principio no debe suponer un problema para los usuarios, que podrán disponer de cápsulas más baratas junto con una mayor variedad. Sin embargo para el fabricante sí supone un serio problema, ya que podrá ver reducidos sus ingresos por la venta de cápsulas. Aunque quizás pueda aumentar la venta de carretas al saberse la posibilidad de usar otros tipos de cápsulas.
ResponderEliminarYo sigo con la vieja , pero efectiva, cafetera italiana de siempre :P
ResponderEliminar¿DRM en cafeteras?
ResponderEliminarPero las capsulas no se reutilizan??!!
ResponderEliminaryo la cambio capsula en la cafetera cada 3 días, cada vez sale un regustillo más persistente a torrefacto.(ese que aunque dé cáncer de colon, es tan adictivo)