Pesquisadores invadem Palm OS usando apenas SMS

Pesquisadores de segurança do Intrepidus Group hackearam a nova plataforma Palm WebOS, usando nada mais do que mensagens de texto para explorar uma enorme quantidade de vulnerabilidades perigosas.

Os hackers da empresa de consultoria de segurança descobriram que o cliente SMS WebOS não valida corretamente a entrada/saída em todas as mensagens SMS enviadas para o celular.

Isto levou a um bug rudimentar de injeção HTML. Ao lado do fato de que a injeção HTML leva diretamente a injetar código em um aplicativo WebOS, os ataques possíveis são bastante perigosos (especialmente considerando que todos poderiam ser entregues em uma mensagem SMS).

Os pesquisadores foram capazes de enviar uma série de mensagens de texto para um dispositivo executando o WebOS para executar ataques de injeção de HTML, que abriu um site, apenas lendo uma mensagem de texto ou, pior, desligando a parte de rádio do celular.

“Esses erros podem ser rastreados até o fato de que o WebOS é essencialmente um navegador web e as aplicações são escritas em JavaScript e HTML. Isto também significa que as aplicações WebOS estão sujeitas à diversas vulnerabilidades em aplicações web que qualquer teste de penetração experiente teria encontrado, “os investigadores advertiram.

A equipe de investigação disse que as falhas foram descobertos “em questão de horas”, sugerindo que a Palm “colocou quase ninguém para pensar na segurança durante o desenvolvimento do WebOS”.

Todas falhas deveriam ter sido identificadas no mais básicos testes de ameaças, que deveriam ter sido realizadas durante as fases de desenvolvimento do WebOS, muito antes de qualquer código ser escrito. Se assim fosse, então imagino que pequenas mudanças para a arquitetura subjacente da WebOS poderiam ter sido implementadas para proteger contra vulnerabilidades de aplicativos web comuns que são encontrados em aplicações de WebOS. Ou, pelo menos, as vulnerabilidades de aplicativos comuns na Web não teriam vindo à tona em aplicações WebOS escritas pela Palm.

While the research was limited to the Palm WebOS platform, Intrepidus cautioned that any app installed via the market place (even other Palm developed apps) may be vulnerable to this or other common web applications vulnerabilities.

A equipe criou um vídeo (abaixo) para demonstrar os ataques de injeção HTML.

Embora a pesquisa tenha sido limitada à plataforma Palm WebOS, a Intrepidus advertiu que qualquer aplicativo instalado pela loja virtual (até mesmo outros aplicativos desenvolvidos pela Palm ) podem estar vulneráveis a esta ou outras vulnerabilidades comuns de aplicativos web.

Fonte: http://threatpost.com/pt_br

Anúncios

Deixe um comentário

Ainda sem comentários.

Comments RSS TrackBack Identifier URI

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s