Исследователь обнаружил уязвимость в защите нового TouchPad компании HP,
которая позволяет инжектировать код в приложение Contacts для кражи информации
или создания бот-сети.
Орландо Баррера, который в конце недели опубликовал proof-of-concept,
эксплуатирующий эту уязвимость в WebOS 3.0, заявляет, что его последнее
исследование, использующее межсайтовый скриптинг (XSS) для внедрения кода в
приложение, связано с уязвимостями, которые он обнаружил в ранней версии WebOS
компании HP. Тогда, в ноябре, Барерра и его товарищ-исследователь Даниэл Херрера
сообщили о своих находках, связанных с тем, что графа "Company" в приложении
Contacts не имела достаточной проверки, что позволило им ввести код, который
полностью получить базу данных Palm, включая переписку, адреса электронной
почты, контакты и прочую информацию. На встрече Austin Hackers Association (AHA)
в Техасе они продемонстрировали каким образом это может помочь атакующему
внедрить клавиатурного шпиона и создать мобильную бот-сеть.
"Новая уязвимость того же направления. Проблема лежит в основе архитектуры
WebOS", - объясняет Баррера, который раскрыл свои последние данные на встрече
AHA на прошлой неделе. "Представьте, что WebOS – это огромное Web-приложение.
Оставление его открытым для атак типа межсайтового скриптинга и кликджекинга
может привести к получению контроля над Web ОС и всеми ее приложениями и
приложениями третьей стороны".
WebOS уязвима также для атак типа "cross-site
request forgery", говорит он. "Это действительно очень уязвимая платформа",
- продолжает Баррера. "Единственная причина, по которой ее не взломали раньше,
так это удельный вес на рынке. Но теперь, когда компания HP пытается выйти на
рынок планшетов, удельный вес данной платформы на рынке становится больше, и она
становится стоящей целью".
Баррера объясняет, что опубликовал XSS PoC потому, что это показывает,
насколько просто взломать платформу, но он не хотел предоставлять информацию для
хакеров-дилетантов о том как, например, скомпрометировать PDF reader на
устройстве или совершить на нем атаку переполнения буфера.
"Это целая операционная система – она содержит такую информацию пользователя,
как почта, контакты, пароли, контактная информация, видео и т.д.", - говорит он.
И недостаток проверки некоторых полей в приложении Contacts оставляет ее
уязвимой к внедрению вредоносного кода и, в конечном счете, приводит в
исполнение удаленного кода.
"В теории, ты можешь даже попытаться создать бот-сеть используя эти
уязвимости против нескольких пользователей WebOS и тайно внедряя JavaScript", -
объясняет Баррера.
Представитель компании HP обещает, что все недостатки будут устранены в
следующем обновлении к операционной системе, и что компания призывает обращаться
людей, при нахождении какой-либо уязвимости, непосредственно к команде по
безопасности WebOS по электронной почте
WebOSsecurity@palm.com или на их сайт
http://www.hpWebOS.com/security.
"Компания Palm уделяет очень серьезное внимание защите. Мы определили
проблему и она будет решена в следующем обновлении", - представитель компании
заявил в своей речи.
Чтобы продемонстрировать, насколько просто совершить XSS-атаку на TouchPad
компании HP, Баррера взял свою 6-летнюю дочь с собой в магазин Best Buy, чтобы
она взломала TouchPad прямо там. В WebOS атаку можно совершить против Facebook,
LinkedIn и других приложений, которые "не проверяются", говорит Баррера.
Баррера объясняет, что его попытки достучаться до компании HP (а также Palm,
приобретенной HP), чтобы оповестить их о имеющихся уязвимостях WebOS не
увенчались успехом. Он говорит, что уже информировал Palm о существующих
проблемах безопасности с функцией "Sync" в WebOS версии 1.4.1 и, в конечном
счете, проблема была устранена в WebOS версии 2.0. Однако, признается Баррера,
ему никогда особенно не доверяли.
А когда компания HP выпустила SDK WebOS 3.0 для TouchPad и Palm Pre, Баррера
нашел проблемы с безопасностью в течение 30 минут использования ПО, вспоминает
он. Он оповестил ZDI, отдел безопасности HP, который, в свою очередь,
проинформировал группу безопасности компании HP. Тогда HP опровергла какие-либо
проблемы с безопасностью и предупредила Орландо Баррера об условиях
неразглашения (NDA) SDK версии. Тогда он подождал до тех пор, пока срок
неразглашения не закончится 30 июня и HP не выпустит TouchPad с WebOS 3.0, и
только тогда обнародовал результаты своего последнего исследования.
"Как разработчик, я отправил информацию об уязвимостях WebOS 3.0 в ZDI, чтобы
оповестить о них HP. Одно письмо содержало информацию о межсайтовом скриптинге, а другое
было
пробным сообщением с его применением. Они исправили ошибку и сообщили ZDI, что
уязвимостей больше нет".
Баррера говорит, он решил опубликовать результаты исследования для того, чтобы
предостеречь потребителей о потенциальной опасности продукции. Он также
добавляет, что не планирует больше проводить исследование WebOS.
