Get Firefox

Member of The Internet Defense League

stopsoftwarepatents.eu petition banner Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Acceso a las claves de los Palm Pilot de forma remota

Última Actualización: 30 de Octubre de 2.000 - Lunes

Artículo publicado en el boletín Una-Al-Día de Hispasec, el 10 de Octubre de 2.000.

Un error de diseño en el protocolo "hotsync" permite que cualquier fuente de rayos infrarojos pueda hacerse pasar por un servidor "hotsync" ante un dispositivo Palm Pilot, o bien "leer" la comunicación entre un Palm Pilot y un servidor "hotsync" confiable.

Cuando un Palm Pilot se conecta a un servidor "hotsync", envía su clave cifrada utilizando un sencillo "xor". Por tanto, cualquier detector de infrarojos puede obtener la clave del usuario. Es más, un atacante puede suplantar un servidor "HotSync" y provocar el envío de la clave por parte del Palm Pilot.

Con dicha clave, el atacante puede acceder a todos los recursos del Palm Pilot, incluyendo los registros "protegidos". Es más; dado que la mayoría de los usuarios suelen reutilizar su clave en otros dispositivos, una clave Palm Pilot filtrada puede comprometer la seguridad de un buen número de sistemas, cuentas de correo electrónico, etc.

Los riesgos de este ataque son patentes en entornos de oficina con un buen número de Palm Pilots (muchas de las "start-up" de Internet entran de lleno en esta categoría), y con servidores "HotSync". Cualquier compañero malicioso puede utilizar su propia Palm Pilot, o un programa a tal efecto en su ordenador, para capturar las claves Palm que "flotan en el ambiente".

En cualquier caso, existen también otras soluciones para poder acceder a un sistema Palm y a sus registros protegidos, como se muestra en los enlaces.

Más información:



Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS

Actualizar Python Zope ©2000 jcea@jcea.es