Специалисты по информационной безопасности из компании Interpidus Group говорят, что разработали методику обхода систем безопасности операционной системы WebOS при помощи коротких текстовых сообщений. После взлома системы потенциальный злоумышленник сможет разместить в телефоне опасное программное обеспечение.
Метод взлома базируется на том, что WebOS не имеет встроенных механизмов корректной валидации входящих и исходящих данных, получаемых в SMS. При помощи специального кода, размещаемого в SMS, хакер может встроить рудиментарный HTML-код, который вставляет код прямо в память телефона. В Interpidus говорят, что данная атака является очень опасной, так как все телефоны с WebOS не имеют блокировки SMS, а во-вторых сама ОС пока не имеет средств защиты от атак данного типа.
В рамках демонстрации уязвимости разработчики технологии передали несколько злонамеренных SMS-сообщений, которые выполняли разнообразные действия, например открывали сайты без ведома пользователя, выполняли загрузку приложений или просто отключали телефон.
"Баг становится особенно опасным ввиду того, что WebOS очень сильно завязана на технологиях HTML и javascript. Перед потенциальным злоумышленником открывается широкое поле деятельности", - говорится в заявлении компании. "Стоит отметить, что баг был вскрыт через несколько часов работы с ОС, что говорит о полном невнимании Palm к вопросам безопасности системы".
Источник: CyberSecurity
|