We Are Legion (?) / /Выбрать тему
Поиск по сайту
Добро пожаловать на Kuwang Hekel Community Was Here
Главная Форум Продавцы КПК Кладбище КПК
Последние советы
New! · Запуск демонстрационного режима (Exhibition mode) из лаунчера webOS (04.02.13)
New! · Перемещение или удаление нескольких файлов одновременно (03.02.13)
New! · Добавление избранных композиций на главный экран Music Player (Remix) (28.01.13)
· Увеличение числа иконок в лаунчере HP TouchPad (25.01.13)
· Редактирование "черного списка" приложений в Preware (22.01.13)
· Изменение порядка учетных записей электронной почты [webOS 3.x] (17.01.13)
· Сортировка списков путем нажатия и удержания (11.01.13)
· Способы перезагрузки планшета HP TouchPad (09.01.13)
· Проверка даты последнего резервного копирования данных пользователя (08.01.13)
· Изменение имени webOS-устройства (05.01.13)

Последние статьи
New! · Palm и webOS: как это было (14.10.12)
New! · HP TouchPad и Pre3. webOS против iOS (31.03.12)
New! · HP webOS, которую жалко потерять (20.11.11)
· Обзор HP TouchPad (23.07.11)
· 7 главных преимуществ HP TouchPad перед iPad 2 (19.07.11)
· Секретные материалы компании Palm (22.07.06)

Настройки
· Ваш аккаунт
· Все пользователи
· Top 10 статей
· Все статьи
· Все новости
· Программы
· Статистика сайта
· Вход с КПК
· RSS

  
Хакеры обнаружили уязвимость в HP TouchPad
Опубликовано 09/07/2011 @ 14:57:35 MSK
HP TouchPad Эксперт по безопасности Орланд Баррера обнаружил уязвимость в защите нового TouchPad компании HP, которая, по его словам, позволяет инжектировать код в приложение Contacts для кражи информации или создания бот-сети.

Орландо Баррера, который в конце недели опубликовал proof-of-concept, эксплуатирующий эту уязвимость в webOS 3.0, заявляет, что его последнее исследование, использующее межсайтовый скриптинг (XSS) для внедрения кода в приложение, связано с уязвимостями, которые он обнаружил в ранней версии webOS компании HP. Тогда, в ноябре, Барерра и его товарищ-исследователь Даниэл Херрера сообщили о своих находках, связанных с тем, что графа "Company" в приложении Contacts не имела достаточной проверки, что позволило им ввести код, который полностью получить базу данных Palm, включая переписку, адреса электронной почты, контакты и прочую информацию. На встрече Austin Hackers Association (AHA) в Техасе они показали каким образом это может помочь атакующему внедрить клавиатурного шпиона и создать мобильную бот-сеть.

"Новая уязвимость того же направления. Проблема лежит в основе архитектуры webOS", - объясняет Баррера, который раскрыл свои последние данные на встрече AHA на прошлой неделе. "Представьте, что webOS – это огромное Web-приложение. Оставление его открытым для атак типа межсайтового скриптинга и кликджекинга может привести к получению контроля над web ОС и всеми ее приложениями и приложениями третьей стороны".

webOS уязвима также для атак типа "cross-site request forgery", сообщает он. "Это действительно очень уязвимая платформа", - продолжает Баррера. "Единственная причина, по которой ее не взломали раньше, так это удельный вес на рынке. Но теперь, когда компания HP пытается выйти на рынок планшетов, удельный вес данной платформы на рынке становится больше, и она становится неплохой мишенью".

Баррера объясняет, что опубликовал XSS PoC потому, что это показывает, насколько легко взломать платформу, но он не хотел предоставлять информацию для хакеров-дилетантов о том как, например, скомпрометировать PDF Reader на устройстве или совершить на нем атаку переполнения буфера.

"Это целая операционная система – она содержит такую информацию пользователя, как почта, контакты, пароли, контактная информация, видео и т.д.", - говорит он. И недостаток проверки некоторых полей в приложении Contacts оставляет ее уязвимой к внедрению вредоносного кода и, в конечном счете, приводит к исполнению удаленного кода.

"В теории, ты можешь даже попытаться создать бот-сеть используя эти уязвимости против нескольких пользователей webOS и тайно внедряя JavaScript", - объясняет Баррера.

Представитель компании HP обещает, что все недостатки будут устранены в следующем обновлении к операционной системе, и что компания призывает обращаться людей, при нахождении какой-либо уязвимости, непосредственно к команде по безопасности webOS по электронной почте webOSsecurity@palm.com или на их сайт http://www.hpwebOS.com/security.

"Компания Palm уделяет очень серьезное внимание защите. Мы определили проблему и она будет решена в следующем обновлении", - представитель компании заявил в своей речи.

Чтобы продемонстрировать, насколько просто совершить XSS-атаку на TouchPad компании HP, Баррера взял свою 6-летнюю дочь с собой в магазин Best Buy, чтобы она взломала TouchPad прямо там. В webOS атаку можно совершить против Facebook, LinkedIn и других приложений, которые "не проверяются", говорит Баррера.

Баррера объясняет, что его попытки достучаться до компании HP (а также Palm, приобретенной HP), чтобы оповестить их о имеющихся уязвимостях webOS не увенчались успехом. Он говорит, что уже информировал Palm о существующих проблемах безопасности с функцией "Sync" в webOS версии 1.4.1 и, в конечном счете, проблема была устранена в webOS версии 2.0. Однако, признается Баррера, ему никогда особенно не доверяли.

А когда компания HP выпустила SDK webOS 3.0 для TouchPad и Palm Pre, Баррера нашел проблемы с безопасностью в течение 30 минут использования ПО, вспоминает он. Он оповестил ZDI, отдел безопасности HP, который, в свою очередь, проинформировал группу безопасности компании HP. Тогда HP опровергла какие-либо проблемы с безопасностью и предупредила Орландо Баррера об условиях неразглашения (NDA) SDK версии. Тогда он подождал до тех пор, пока срок неразглашения не закончится 30 июня и HP не выпустит TouchPad с webOS 3.0, и только тогда огласил результаты своего последнего исследования.

"Как разработчик, я отправил уведомление об уязвимостях webOS 3.0 в ZDI, чтобы проинформировать о них HP. Одно письмо содержало информацию о межсайтовом скриптинге, а другое было пробным сообщением с его применением. Они исправили ошибку и сообщили ZDI, что уязвимостей больше нет".

Баррера говорит, он решил опубликовать результаты исследования для того, чтобы предостеречь потребителей о возможной опасности продукции. Он также добавляет, что не планирует больше проводить исследование webOS.

Вы можете обсудить эту новость на форуме webos-forums.ru

Источник: moikomp.ru

   Версия для печати   Послать эту статью товарищу  

 
Последние сообщения форума
"Телевизор LG UH770V (49,55,65") 2016 года" от DonnyBarsco (22.06.2017 в 14:49:35)
"Подскажите где скачать Advanced browser?" от ipixi (22.06.2017 в 14:34:39)
"Откат и восстановление предыдущих версий прошивок" от mixmar (22.06.2017 в 12:53:17)
"ТЕЛЕВИЗОРЫ И ДРУГАЯ ТЕХНИКА из Финляндии ПО ВЫГОДНОЙ ЦЕНЕ!!" от Макар (21.06.2017 в 23:30:39)
"Телевизор LG UH603V (43,49,55,60,65") 2016 года" от $and (21.06.2017 в 23:10:47)
"Книга жалоб и предложений по работе ПО телевизоров LG" от tessi (21.06.2017 в 18:36:18)
"Телевизор LG UF850V (49,55,60,65")" от Ivnkoms (21.06.2017 в 08:13:57)
"Zoomby - онлайн-кинотеатр" от tessi (20.06.2017 в 21:31:37)
"Телевизор LG LF650V (32,42,50,55")" от Архивариус (20.06.2017 в 13:06:24)
"Cайты с онлайн фильмами для смарт телевизоров" от Arch1S (20.06.2017 в 12:10:28)

Схожие темы

<< Хакеры выпустили собственные приложения для планшета HP TouchPadОбновление webOS устранит все недочеты TouchPad >>

"Jeffin Kuwang Hekel Tim Was Here~" | Войти/Создать логин | 0 комментариев
Порог
За комментарии ответственны только те, кто их поместил. Мы не несём ответственности за них.


(©) 2017 - Hekel Kuwang Community Was Here | ./Jeff404 | .*-RendBoLie-* | ??R1ckMah3s0n9?? | .rsu | DewiKasQQ | Jangan kaget atau panik , kita bukan hacker tapi tukang iseng. Kami hanya mengikuti perintah ketua HKC .. Dia anak medan.. If u not understand my language , i dont care ~
Яндекс.Метрика