Per violare webOS basta un SMS

Per violare webOS basta un SMS

I ricercatori di Intrepidus Group sono riusciti a violare il sistema operativo sviluppato da Palm utilizzando semplicemente messaggi di testo

di pubblicata il , alle 09:20 nel canale Sicurezza
Palm
 

Si torna nuovamente a parlare di Palm, ma questa volta non si tratta delle solite indiscrezioni riguardanti il futuro della compagnia. In questo momento l'attenzione è focalizzata su webOS, il sistema operativo mobile sviluppato da Palm, che stando alle informazioni riportate sul blog ThreatPost di Kaspersky soffrirebbe di gravi problemi di sicurezza.

Alcuni ricercatori di Intrepidus Group sono infatti riusciti a violare la piattaforma webOS utilizzando dei banalissimi SMS per sfruttare alcune vulnerabilità presenti nel sistema. Nel dettaglio i ricercatori hanno scoperto che il client SMS di webOS non è in grado di validare correttamente il contenuto dei messaggi inviati allo smartphone.

Inviando alcuni SMS creati ad hoc ad uno smartphone con webOS, i ricercatori hanno dimostrato di poter eseguire attacchi di tipo HTML injection di un certo rilievo. In merito alla vulnerabilità i ricercatori hanno dichiarato: "Questi bug sono dovuti al fatto che webOS è essenzialmente un browser web e che le applicazioni sono scritte in JavaScript e HTML. Questo significa che le applicazioni di webOS sono soggette a numerose vulnerabilità che qualsiasi tester con qualche anno di esperienza sulle spalle ben conosce".

Per dimostrare l'efficacia degli attacchi, i ricercatori hanno inoltre realizzato un video dimostrativo nel quale vengono mostrati ben sei esempi di attacco. Di seguito il filmato.

Update: va segnalato che tali vulnerabilità sono state individuate nella versione 1.3.5 di webOS ed in seguito corrette nella versione 1.4 rilasciata oltre un mese fa. Intrepidus Group ha deciso di rendere noto solo ora il problema in ottemperanza ad alcuni accordi contrattuali. Ringraziamo l'utente Alfhw per la segnalazione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
DanieleG21 Aprile 2010, 09:33 #1
Massima stima per l'hack coi Griffin
DT8421 Aprile 2010, 09:38 #2
Face Palm.
Kanon21 Aprile 2010, 09:45 #3
Ottimo... vi fa strano che questa bella news segua di poco meno di una settimana l'annuncio che Palm è in svendita?
Una cosa del genere potrebbe frazionare il prezzo del pacchetto...
Alfhw21 Aprile 2010, 09:52 #4
Per l'autore della notizia:
questi bugs affliggono la versione 1.3.5 di webOS ma sono già stati corretti da Palm nella versione 1.4 rilasciata più di un mese e mezzo fa!!!

Infatti nel sito dei ricercatori di Intrepidus Group (http://intrepidusgroup.com/insight/...njection-flaws/) c'è scritto chiaramente che: "Note: the findings herein affect WebOS 1.3.5. Palm has since released WebOS 1.4, which fixes these vulnerabilities" e poi "Due to contractual agreements, the public disclosure of this information was delayed."

L'articolo sul blog ThreatPost di Kaspersky è solo FUD!
Caridorc21 Aprile 2010, 09:52 #5
Mamma mia che epic fail! un qualsiasi web designer noob appena uscito da scuola (tipo me) protegge la sua schifo-pagina web da attacchi html injection!

per chi non sapesse in cosa consistono questi attacchi:
scrivere codice html/jscript/php/... in una casella di input
esempio: io sto scrivendo questo messaggio che state leggendo, e in mezzo al messaggio vero e proprio scrivo codice html/ecc del tipo
<script>alert('ciao')</script>
se hwupgrade non filtrasse quello che scrivo, invece di leggere la riga sopra, vi sarebbe saltata fuori una finestrella con scritto "ciao" e con un tasto ok.
questo esempio era una boiata, ma pensate se invece di mettere la finestrella che saluta avessi messo qualcosa che reca danni all'utente....bello vero?
Spec1alFx21 Aprile 2010, 09:59 #6
Tanto per citare il suo concorrente più famoso, la stessa cosa era successa all'iPhone...
Bongio221 Aprile 2010, 10:31 #7
Anche ad Android, è il primo bug grave che avevano risolto....
djfix1321 Aprile 2010, 10:36 #8
ma quand'è che su questo Sito di news fate un attimo di attenzione sull'uscita delle notizie?? non è possibile creare pagine di news che ormai non lo sono più da 1 mese e mezzo!!!

e poi risulta una perdita di tempo anche per noi che prima di sapere cos'è la leggiamo!
TonyFavilla21 Aprile 2010, 10:38 #9
Originariamente inviato da: DT84
Face Palm.


arelok21 Aprile 2010, 11:12 #10
Interessante sta cosa dell'html injection! Purtroppo io non so programmare nella maniera più assoluta, ma mi prende molto l'idea dell'injection di codice e quindi tutte le protezioni inventate/adottabili! Mi spiace per gli utenti Palm, perchè anche se è stato risolto, vorrei sapere se tutti gli utenti Palm hanno aggiornato la loro release dell'OS...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^