Компания SecTheory, занимающаяся исследованиями в области интернет-безопасности, обнародовала данные об обнаружении серьезных уязвимостей в мобильной операционной системе webOS, под управлением которой работают вся линейка смартфонов Palm / HP.
Выступившие на конференции Austin Hacker Association специалисты по безопасности компании Орландо Баррера и Даниэль Эрреро сообщили, что всего ими было найдено в webOS три уникальных уязвимости, связанные с переполнением подсистемы работы с плавающей запятой, с ошибкой, позволяющей проводить DDOS-атаку, а также с XSS-уязвимостью.Использовать обнаруженные уязвимости потенциальные злоумышленники могут самыми разными способами. "К примеру, использование XSS-уязвимости может привести к следующим атакам: удаленному вторжению и контролю, за счет использования JavaScript для динамической модификации функций устройства. Кроме того, атаки позволяют организовать из взломанных аппаратов настоящую бот-сеть, которая может удаленно контролироваться злоумышленниками", - заявил Баррера.
Также он отметил, что их группе исследователей удалось использовать XML HTTP-запросы для доступа к локальной файловой системе смартфона через локальный адрес localhost, что также представляет опасность удаленного вмешательства в файловую систему смартфона.
"Все перечисленные атаки позволяют злоумышленникам использовать смартфон в своих интересах и похищать данные пользователей, в том числе их контакт-листы, почтовые и короткие сообщения, хеши паролей и прочие незашифрованные данные", - говорит Баррера.
По его словам, исследователи накануне оглашения информации убедились, что система атак работает на операционных системах webOS 1.4 - 2.0.
Вы можете обсудить эту новость на форуме webos-forums.ru
Источник: securitylab.ru
