Uma vulnerabilidade perigosa foi encontrada no sistema operacional BlackBerry QNX – carros e equipamentos médicos estavam em risco

Foi descoberta uma vulnerabilidade no sistema operacional BlackBerry QNX que permite que os invasores obtenham controle sobre vários equipamentos, incluindo sistemas de veículos a bordo e dispositivos médicos.

Fonte: engadget.com

A vulnerabilidade, apelidada de BadAlloc, afeta versões anteriores do QNX. Com ele, os invasores podem realizar várias ações, por exemplo, realizar ataques DDoS ou executar código arbitrário. Atualmente, a BlackBerry, a Food and Drug Administration (FDA) dos EUA e a Agência de Segurança Cibernética e Proteção de Infraestrutura (CISA) da Agência de Segurança Nacional dos EUA publicaram diretrizes sobre como atenuar essa vulnerabilidade. No entanto, como se tornou conhecido, o BlackBerry foi notificado desse fato há vários meses e não queria relatá-lo publicamente.

A empresa disse inicialmente à CISA que não acreditava na vulnerabilidade do BadAlloc no QNX. O problema do BadAlloc foi descoberto pela Microsoft em abril, e o relatório afirma que ele afeta uma ampla gama de redes industriais, médicas e corporativas. Mais tarde, muitas empresas de desenvolvimento confirmaram sua presença, mas a BlackBerry não estava entre elas. Como resultado, a CISA confirmou a existência de uma vulnerabilidade nas versões mais antigas do QNX, e somente esse fato forçou o BlackBerry a declarar o problema abertamente.

O problema foi agravado pelo fato de que este sistema operacional não é fornecido para usuários finais, mas é licenciado para fabricantes de hardware. Foi com eles que a BlackBerry quis realizar as consultas necessárias na fase inicial, caso em que os consumidores finais nada saberiam sobre o problema. Por fim, quando o desenvolvedor reconheceu a vulnerabilidade e fez uma declaração oficial, ele, em particular, observou que nada sabia sobre os fatos de seu uso em equipamentos QNX. No entanto, para evitar essa possibilidade, os fabricantes foram aconselhados a lançar atualizações de firmware com uma nova versão do sistema que não seja afetada pelo problema BadAlloc.