Компания SecTheory, занимающаяся исследованиями в области
интернет-безопасности, обнародовала данные об обнаружении серьезных уязвимостей
в мобильной операционной системе webOS, под управлением которой работают вся
линейка смартфонов Palm/HP.
Выступившие на конференции Austin Hacker Association специалисты по
безопасности компании Орландо Баррера и Даниэль Эрреро сообщили, что всего ими
было найдено в webOS три уникальных уязвимости, связанные с переполнением
подсистемы работы с плавающей запятой, с ошибкой, позволяющей проводить
DDOS-атаку, а также с XSS-уязвимостью.
Использовать обнаруженные уязвимости потенциальные злоумышленники могут
самыми разными способами. "К примеру, использование XSS-уязвимости может
привести к следующим атакам: удаленному вторжению и контролю, за счет
использования JavaScript для динамической модификации функций устройства. Кроме
того, атаки позволяют организовать из взломанных аппаратов настоящую бот-сеть,
которая может удаленно контролироваться злоумышленниками", - заявил Баррера.
Также он отметил, что их группе исследователей удалось использовать
HTTP-запросы для доступа к локальной файловой системе смартфона через локальный
сервер localhost, что также представляет опасность удаленного вмешательства в
файловую систему смартфона.
"Все перечисленные атаки позволяют злоумышленникам использовать смартфон в
своих интересах и похищать данные пользователей, в том числе их контакт-листы,
почтовые и короткие сообщения, хеши паролей и прочие незашифрованные данные", -
говорит Баррера.
По его словам, исследователи накануне оглашения информации убедились, что
система атак работает на операционных системах webOS 1.4 - 2.0.
