Хакеры обнаружили уязвимость в HP TouchPad

Орландо Баррера, который в конце недели опубликовал proof-of-concept, эксплуатирующий эту уязвимость в webOS 3.0, заявляет, что его последнее исследование, использующее межсайтовый скриптинг (XSS) для внедрения кода в приложение, связано с уязвимостями, которые он обнаружил в ранней версии webOS компании HP. Тогда, в ноябре, Барерра и его товарищ-исследователь Даниэл Херрера сообщили о своих находках, связанных с тем, что графа "Company" в приложении Contacts не имела достаточной проверки, что позволило им ввести код, который полностью получить базу данных Palm, включая переписку, адреса электронной почты, контакты и прочую информацию. На встрече Austin Hackers Association (AHA) в Техасе они показали каким образом это может помочь атакующему внедрить клавиатурного шпиона и создать мобильную бот-сеть.

"Новая уязвимость того же направления. Проблема лежит в основе архитектуры webOS", - объясняет Баррера, который раскрыл свои последние данные на встрече AHA на прошлой неделе. "Представьте, что webOS – это огромное Web-приложение. Оставление его открытым для атак типа межсайтового скриптинга и кликджекинга может привести к получению контроля над web ОС и всеми ее приложениями и приложениями третьей стороны".

webOS уязвима также для атак типа "cross-site request forgery", сообщает он. "Это действительно очень уязвимая платформа", - продолжает Баррера. "Единственная причина, по которой ее не взломали раньше, так это удельный вес на рынке. Но теперь, когда компания HP пытается выйти на рынок планшетов, удельный вес данной платформы на рынке становится больше, и она становится неплохой мишенью".

Баррера объясняет, что опубликовал XSS PoC потому, что это показывает, насколько легко взломать платформу, но он не хотел предоставлять информацию для хакеров-дилетантов о том как, например, скомпрометировать PDF Reader на устройстве или совершить на нем атаку переполнения буфера.

"Это целая операционная система – она содержит такую информацию пользователя, как почта, контакты, пароли, контактная информация, видео и т.д.", - говорит он. И недостаток проверки некоторых полей в приложении Contacts оставляет ее уязвимой к внедрению вредоносного кода и, в конечном счете, приводит к исполнению удаленного кода.

"В теории, ты можешь даже попытаться создать бот-сеть используя эти уязвимости против нескольких пользователей webOS и тайно внедряя JavaScript", - объясняет Баррера.

Представитель компании HP обещает, что все недостатки будут устранены в следующем обновлении к операционной системе, и что компания призывает обращаться людей, при нахождении какой-либо уязвимости, непосредственно к команде по безопасности webOS по электронной почте webOSsecurity@palm.com или на их сайт http://www.hpwebOS.com/security.

"Компания Palm уделяет очень серьезное внимание защите. Мы определили проблему и она будет решена в следующем обновлении", - представитель компании заявил в своей речи.

Чтобы продемонстрировать, насколько просто совершить XSS-атаку на TouchPad компании HP, Баррера взял свою 6-летнюю дочь с собой в магазин Best Buy, чтобы она взломала TouchPad прямо там. В webOS атаку можно совершить против Facebook, LinkedIn и других приложений, которые "не проверяются", говорит Баррера.

Баррера объясняет, что его попытки достучаться до компании HP (а также Palm, приобретенной HP), чтобы оповестить их о имеющихся уязвимостях webOS не увенчались успехом. Он говорит, что уже информировал Palm о существующих проблемах безопасности с функцией "Sync" в webOS версии 1.4.1 и, в конечном счете, проблема была устранена в webOS версии 2.0. Однако, признается Баррера, ему никогда особенно не доверяли.

А когда компания HP выпустила SDK webOS 3.0 для TouchPad и Palm Pre, Баррера нашел проблемы с безопасностью в течение 30 минут использования ПО, вспоминает он. Он оповестил ZDI, отдел безопасности HP, который, в свою очередь, проинформировал группу безопасности компании HP. Тогда HP опровергла какие-либо проблемы с безопасностью и предупредила Орландо Баррера об условиях неразглашения (NDA) SDK версии. Тогда он подождал до тех пор, пока срок неразглашения не закончится 30 июня и HP не выпустит TouchPad с webOS 3.0, и только тогда огласил результаты своего последнего исследования.

"Как разработчик, я отправил уведомление об уязвимостях webOS 3.0 в ZDI, чтобы проинформировать о них HP. Одно письмо содержало информацию о межсайтовом скриптинге, а другое было пробным сообщением с его применением. Они исправили ошибку и сообщили ZDI, что уязвимостей больше нет".