El listado de ‘Vulnerabilidades y exposiciones comunes’ (Common Vulnerabilities and Exposures, en inglés) es un registro público —mantenido con fondos de la División Nacional de Ciberseguridad estadounidense— en el que las organizaciones acreditadas notifican la detección de nuevas vulnerabilidades en sistemas informáticos. Cada nueva vulnerabilidad recibe un código identificador con un formato similar a este: CVE-2022-38392.

De hecho, ese código corresponde a una de las últimas vulnerabilidades detectadas y es, posiblemente, una de las más extrañas que jamás hayan formado —o vayan a formar— parte de este listado. Porque en este caso, la vulnerabilidad no es ningún agujero de seguridad que permita escalar privilegios, ni un desbordamiento de buffer que pueda colgar tu ordenador, no. Se trata de un vídeo musical.

Un vídeo musical capaz de alterar el funcionamiento de un disco duro.

Pero esta chica no cantaba tan mal, ¿no?

Concretamente un vídeo de Janet Jackson de 1989. «Janet Jackson tenía el poder de bloquear computadoras portátiles», anunciaba Raymond Chen en su blog de desarrollador en Microsoft.com

Resulta que el vídeo musical de ‘Rhythm Nation’ (ver más abajo) es capaz de bloquear ciertos modelos de ordenador portátil, según descubrió la compañía que los fabricaba mientras investigaba el comportamiento anormal de algunos de ellos. El nombre de dicha compañía no se ha revelado, pero sí que descubrió que algunos modelos de otros fabricantes sufrían el mismo problema.

[embedded content]

¿Pero cómo conseguía eso? ¿Tan mala era la canción? Bueno, juicios artísticos al margen, se descubrió que el vídeo de ‘Rhythm Nation’ contenía una de las frecuencias de resonancia naturales para el modelo de discos duros de 5400rpm que utilizaban los modelos afectados. De hecho, la descripción del problema en el CVE lo recoge como una vulnerabilidad frente a ‘ataques de frecuencia de resonancia’.

Todo cuerpo o sistema con una o varias frecuencias de resonancia propias y, cuando es sometido a ellas, son capaces de provocar su máximo estado de vibración… lo cual, en el caso de un disco duro, tiende a ser mala idea. Suena extraño, pero es un problema de ingeniería bien conocido…

¿Robar información sólo con los sonidos del disco duro? Unos hackers aseguran que es posible

…aunque no te fíes si —como hace Raymond Chen en su blog— te ponen como ejemplo de esto el famoso colapso del puente de Tacoma Narrows. Mejor piensa en el ejemplo del cantante de ópera dando con la nota que provoca que los vasos de cristal empiecen a estallar. En cualquier caso, puentes al margen, tampoco es la primera vez que se constata que la voz humana es capaz de alterar la latencia de las operaciones de lectura/escritura de un disco duro:

[embedded content]

Realmente, esta vulnerabilidad se descubrió hace ya varios años, poco después de que los portátiles salieran a la venta (en torno al año 2005); el fabricante solucionó el problema agregando un filtro personalizado en la canalización de audio que detectaba y eliminaba las frecuencias peligrosas en cuestión durante la reproducción de audio.

Si lo han revelado ahora, suponemos, es sobre todo porque la mayoría de esos portátiles lanzados al mercado con discos duros de 5400rpm ya no están en uso. Y porque ya casi nadie escucha a Janet Jackson.

Vía | The Register

Fuente info
Autor: