Naszym smartfonom powierzamy coraz więcej bardzo ważnych, prywatnych danych. Producenci tego typu urządzeń zdają się jednak nie przywiązywać dużej wagi do bezpieczeństwa systemów operacyjnych oraz aplikacji pracujących w tego typu urządzeniach. W trakcie tegorocznego konkursu Pwn2Own, włamanie do urządzenia Apple iPhone 3Gs zajęło Vincenzo Iozzo tylko chwilę. Wczoraj natomiast grupa Intrepidus zademostrowała kilka niezwykle prostych ataków pozwalających na zhakowanie systemu Palm WebOS pracującego w smartfonie Palm Pre.
Palm WebOS to systemem operacyjny opartym na Linuksie i działający w koncepcji przeglądarki uruchamiającej programy stworzone za pomocą technologii HTML oraz JavaScript. Zaletą takiego podejścia miało być to, że deweloperzy oprogramowania nie musieli uczyć się nowych języka programowania, okazało się jednak, że taka architektura systemu sprawia, że jest on szczególnie podatny na szereg groźnych ataków.
Grupa Intrepidus odkryła oraz w sposób odpowiedzialny (responsible disclosure) ujawniła szereg luk obecnych w systemie Palm WebOS. Okazało się, że wbudowany w WebOS klient wiadomości SMS nie był w żaden sposób zabezpieczony przed atakami typu HTML injection. W związku z tym, przesłanie odpowiednio spreparowanych wiadomości SMS pozwala na wykonanie następujących ataków:
- uruchomienie dowolnej strony internetowej,
- rozpoczęcie pobierania dowolnego pliku,
- uruchomienie dowolnego strumienia video z Internetu,
- rozpoczęcie instalacji nowego certyfikatu głównego (root CA certificate) w systemie,
- rozpoczęcie procedury kasowania wszystkich danych zgromadzonych w urządzeniu.
Producent został poinformowany o odkrytych lukach przed opublikowaniem powyższych informacji, wobec czego dostępna jest już wersja systemu WebOS zamykająca powyższe podatności.
Jak widać, potencjalne ataki są bardzo groźne. Jak to jednak możliwe, że doświadczeni programiści nie zabezpieczyli swych aplikacji przed znanymi przecież od lata atakami typu HTML injection? Okazuje się, że problemy z bezpieczeństwem nowych smartfonów są prawdopodobnie wynikiem… pośpiechu! Na tym szczególnie konkurencyjnym rynku, producenci wprowadzają nowe modele swych wielofunkcyjnych telefonów pod ogromną presją czasu. Niestety, nieuchronnie wynikający z tego duży pośpiech programistów skutkuje publikowaniem niezwykle dziurawych aplikacji.
Dodaj komentarz