Home Sociedad La mayoría de los compiladores de código informático, son vulnerables a nuevos...

La mayoría de los compiladores de código informático, son vulnerables a nuevos ataques

La mayoría de los compiladores de código informático, corre el riesgo de sufrir ataques de “fuente de troyanos” en los que los adversarios pueden introducir vulnerabilidades específicas en cualquier software, sin ser detectados, según investigadores de la Universidad de Cambridge.

El documento, Trojan Source: Invisible Vulnerabilities, detalla cómo las debilidades en los estándares de codificación de texto, como Unicode, pueden ser explotadas “para producir código fuente cuyos tokens están codificados lógicamente en un orden diferente al que se muestran”. Esto da lugar a vulnerabilidades muy difíciles de detectar para los revisores de código humanos, ya que el código fuente renderizado parece perfectamente aceptable.

En concreto, el punto débil se observó en el algoritmo bidireccional (Bidi) de Unicode, que se encarga de mostrar textos que incluyen escrituras mixtas con diferentes órdenes de visualización, como el árabe -que se lee de derecha a izquierda- y el inglés (de izquierda a derecha). En la actualidad, Unicode define más de 143.000 caracteres en 154 idiomas diferentes.

Los investigadores observaron que, en algunos casos, los caracteres de control Bidi override permiten cambiar el orden de visualización de grupos de caracteres.

La mayoría de los lenguajes de programación permiten que estas anulaciones Bidi se coloquen en comentarios y cadenas, que los desarrolladores suelen ignorar. Esto permite insertar vulnerabilidades específicas en el código fuente sin que sean detectadas.

Bidi anula los caracteres a través de las funciones de copiar y pegar de la mayoría de los navegadores, editores y sistemas operativos modernos. Por tanto, “cualquier desarrollador que copie código de una fuente no fiable en una base de código protegida puede introducir inadvertidamente una vulnerabilidad invisible”.

Aunque, por el momento, no hay pruebas de que los actores de las amenazas hayan utilizado este tipo de ataques, los autores advirtieron de la necesidad de nuevos controles de seguridad para contrarrestar este peligro. Afirmaron: “Dado que se pueden lanzar fácilmente poderosos ataques a la cadena de suministro utilizando estas técnicas, es esencial que las organizaciones que participan en una cadena de suministro de software implementen defensas”.