Hakowanie smartfonów (luki w systemie Palm WebOS)

Naszym smartfonom powierzamy coraz więcej bardzo ważnych, prywatnych danych. Producenci tego typu urządzeń zdają się jednak nie przywiązywać dużej wagi do bezpieczeństwa systemów operacyjnych oraz aplikacji pracujących w tego typu urządzeniach. W trakcie tegorocznego konkursu Pwn2Own, włamanie do urządzenia Apple iPhone 3Gs zajęło Vincenzo Iozzo tylko chwilę. Wczoraj natomiast grupa Intrepidus zademostrowała kilka niezwykle prostych ataków pozwalających na zhakowanie systemu Palm WebOS pracującego w smartfonie Palm Pre.

Palm WebOS to systemem operacyjny opartym na Linuksie i działający w koncepcji przeglądarki uruchamiającej programy stworzone za pomocą technologii HTML oraz JavaScript. Zaletą takiego podejścia miało być to, że deweloperzy oprogramowania nie musieli uczyć się nowych języka programowania, okazało się jednak, że taka architektura systemu sprawia, że jest on szczególnie podatny na szereg groźnych ataków.

Grupa Intrepidus odkryła oraz w sposób odpowiedzialny (responsible disclosure) ujawniła szereg luk obecnych w systemie Palm WebOS. Okazało się, że wbudowany w WebOS klient wiadomości SMS nie był w żaden sposób zabezpieczony przed atakami typu HTML injection. W związku z tym, przesłanie odpowiednio spreparowanych wiadomości SMS pozwala na wykonanie następujących ataków:

  • uruchomienie dowolnej strony internetowej,
  • rozpoczęcie pobierania dowolnego pliku,
  • uruchomienie dowolnego strumienia video z Internetu,
  • rozpoczęcie instalacji nowego certyfikatu głównego (root CA certificate) w systemie,
  • rozpoczęcie procedury kasowania wszystkich danych zgromadzonych w urządzeniu.

Producent został poinformowany o odkrytych lukach przed opublikowaniem powyższych informacji, wobec czego dostępna jest już wersja systemu WebOS zamykająca powyższe podatności.

Jak widać, potencjalne ataki są bardzo groźne. Jak to jednak możliwe, że doświadczeni programiści nie zabezpieczyli swych aplikacji przed znanymi przecież od lata atakami typu HTML injection? Okazuje się, że problemy z bezpieczeństwem nowych smartfonów są prawdopodobnie wynikiem… pośpiechu! Na tym szczególnie konkurencyjnym rynku, producenci wprowadzają nowe modele swych wielofunkcyjnych telefonów pod ogromną presją czasu. Niestety, nieuchronnie wynikający z tego duży pośpiech programistów skutkuje publikowaniem niezwykle dziurawych aplikacji.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar norbert_ramzes
    norbert_ramzes

    Skąd ja to znam? Aplikacje webowe w których podstawą jest zajefajny wygląd/funkcjonalność i za*** krótki termin na czas realizacji i do tego koszta (opłacalność) a potem pretensje 👿 że coś nie działa, ktoś się włamał etc.

  2. Awatar trasz
    trasz

    Warto przypomniec, ze Apple tam, gdzie teraz jest Palm – w sensie, w aplikacjach w formie "widgetow", napisanych przy uzyciu JavaScriptu i roznych takich – bylo ladnych kilka lat temu. I nie bez powodow obecnie wiekszosc aplikacji na iPhone'a jest napisana w ObjectiveC i skompilowana do natywnego kodu maszynowego.

    1. Awatar jarek
      jarek

      Mysle, ze to raczej ze wzgledu na wydajnosc i bakterie a nie
      bezpieczenstwo jako takie. Raz, iPhone ma dosyc slaby procesor
      (cos kolo 500MHz AFAIR), dwa intepretacja kodu czy nawet JIT
      zawsze wciaga kupe dodatkowych cykli zegara (wbrew propagandzie
      tworcow Androida), czyli szamie wiecej bakterii.

      1. Awatar przemoc
        przemoc

        Obecnie sprzedawany iPhone 3GS (zresztą tak jak Droid czy N900) ma bardzo przyzwoite zaplecze sprzętowe.

        ARM cores @wikipedia

        1. Awatar spaceman
          spaceman

          i baterie, ktora musze ladowac codziennie :/

    2. Awatar Otaq
      Otaq

      Oczywiście, bo w końcu stosowanie jednego języka programowania zamiast innego w magiczny sposób oczyszcza umysł programisty, który dzięki temu nie popełnia błędów.

      1. Awatar jarek
        jarek

        Nie, ale jednak przepelnic stos w Javie jest „deczko” ciezej
        niz w C, nawet jak ten kod jest napisany przez debila.

        1. Awatar Tomasz Woźniak
          Tomasz Woźniak

          @jarek: a co to ma do wypowiedzi Otaq w kontekście wypowiedzi trasza?

    3. Awatar JANWAR
      JANWAR

      Porownanie zupelnie nietrafione…od poczatku taka byla koncepcja tworcow tego systemu – aby proste aplikacje byly widgetami (sugeruje to sama nazwa systemu). WebOS jak najbardziej umozliwa dzisiaj uruchamianie natywnych aplikacji dzieki PDK, jezeli jest to potrzebne (np w grach). Uwierz lub nie – sprawdza sie to super.

      1. Awatar trasz
        trasz

        @JANWAR: W przypadku iPhone'a tez od poczatku taka byla koncepcja. Nie dzialalo zbyt dobrze, podobnie jak w przypadku Palma – nie bez powodu jednym z glownych zarzutow przeciwko WebOS-owi jest ociezalosc.

  3. Awatar jarek
    jarek

    Mam pytanie, zupelnie niezwiazane z tematem: czy iPhone
    ma "loudspeaker" i w miare czuly mikrofon? Chodzi mi o to,
    czy mozna go przelaczyc na tryb glosnomowiacy i polozyc
    na stole w trakcie rozmowy?

    1. Awatar Otaq
      Otaq

      Zapytany Wujek Google o "iphone głośnomówiący" powiedział, że iPhone ma tą funkcję (pierwszy wyświetlony link…).
      Choć osobiście jestem zdziwiony, bo w końcu "kto tego w ogóle używa?" 😉

      1. Awatar jarek
        jarek

        Wez mi jeszcze wygooglaj jak jest z czuloscia mikrofonu przy takim rozmawianiu?

        1. Awatar Otaq
          Otaq

          Wez mi jeszcze wygooglaj jak jest z czuloscia mikrofonu przy takim rozmawianiu?

          Ależ służę uprzejmie. Tak jak poprzednio pierwszy wyświetlony link:
          http://www.myapple.pl/iphone-rozmowy-ogolne/72803…

          wuja_jurek:

          jakosc rozmow wydaje mi sie ze zalezy od warunkow otoczenia w domu jak jestem jest wszystko ok

          quest:

          Rozmowa prowadzona uzywajac zewnetrznego glosnika jest wedlug mnie na dobrym poziomie (ja slysze dobrze druga osobe a ona jesli nie ma w okol mnie nadmiernego zgielku raczej takze ma komfort z prowadzenia rozmowy chociaz jakies echo oczywiscie jest .. moz enie echo co efekt studni)

          Jeśli chcesz więcej informacji np. jak Tobie będzie się rozmawiało w ten sposób to niestety Wujek Google nie pomoże 🙁 Będziesz musiał się osobiście wybrać do jakiegoś iSpotu lub sklepu z telefonami i zapytać sprzedawcę czy pozwoli Ci zadzwonić z iPhona żeby sprawdzić jakość dźwięku.

        2. Awatar jarek
          jarek

          Jakby byl przycisk "like it" to bym nacisnal, a tak masz tylko plusa.

    2. Awatar trasz
      trasz

      @jarek: Tak. Nie ma problemu z przelaczeniem na glosnomowiacy i odlozeniem telefonu na biurko.

    3. Awatar MDW
      MDW

      Oczywiście, że ma. Używam tego w swoim iPhone3G bardzo często i problemów nie stwierdziłem.

  4. Awatar Identyfikator Chwilo
    Identyfikator Chwilo

    > Zaletą takiego podejścia miało być to, że deweloperzy oprogramowania
    > nie musieli uczyć się nowych języka programowania

    A co mnie obchodzi wygoda/lenistwo tzw. "deweloperów" (czyżby przedsiębiorcy budowlani… 😉 )? Ja jestem klientem; chcą na mnie zarobić – niech się uczą. Nie chcą się uczyć? To nie zarobią… proste?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *