HARD CORE SECURITY LAB

Naszym smartfonom powierzamy coraz więcej bardzo ważnych, prywatnych danych. Producenci tego typu urządzeń zdają się jednak nie przywiązywać dużej wagi do bezpieczeństwa systemów operacyjnych oraz aplikacji pracujących w tego typu urządzeniach. W trakcie tegorocznego konkursu Pwn2Own, włamanie do urządzenia Apple iPhone 3Gs zajęło Vincenzo Iozzo tylko chwilę. Wczoraj natomiast grupa Intrepidus zademostrowała kilka niezwykle prostych ataków pozwalających na zhakowanie systemu Palm WebOS pracującego w smartfonie Palm Pre.

Palm WebOS to systemem operacyjny oparty na Linuksie i działający w koncepcji przeglądarki uruchamiającej programy stworzone za pomocą technologii HTML oraz JavaScript. Zaletą takiego podejścia miało być to, że deweloperzy oprogramowania nie musieli uczyć się nowych języka programowania, okazało się jednak, że taka architektura systemu sprawia, że jest on szczególnie podatny na szereg groźnych ataków.

Grupa Intrepidus odkryła oraz w sposób odpowiedzialny (responsible disclosure) ujawniła szereg luk obecnych w systemie Palm WebOS. Zobaczmy więc materiał video przygotowany przez Intrepidus Group, szczegółowo prezentujący poszczególne problemy w zabezpieczeniach systemu:


Okazuje się więc, że wbudowany w WebOS klient wiadomości SMS nie był w żaden sposób zabezpieczony przed atakami typu HTML injection. W związku z tym, przesłanie odpowiednio spreparowanych wiadomości SMS pozwala na wykonanie następujących ataków:

• uruchomienie dowolnej strony internetowej,
• rozpoczęcie pobierania dowolnego pliku,
• uruchomienie dowolnego strumienia video z Internetu,
• rozpoczęcie instalacji nowego certyfikatu głównego (root CA certificate) w systemie,
• rozpoczęcie procedury kasowania wszystkich danych zgromadzonych w urządzeniu.

Jak widać, potencjalne ataki są bardzo groźne. Jak to jednak możliwe, że doświadczeni programiści nie zabezpieczyli swych aplikacji przed znanymi przecież od lata atakami typu HTML injection? Okazuje się, że problemy z bezpieczeństwem nowych smartfonów są prawdopodobnie wynikiem... pośpiechu! Na tym szczególnie konkurencyjnym rynku, producenci wprowadzają nowe modele swych wielofunkcyjnych telefonów pod ogromną presją czasu. Niestety, nieuchronnie wynikający z tego duży pośpiech programistów skutkuje publikowaniem niezwykle dziurawych aplikacji.

Coraz częściej zdarza się więc tak, że rynkowe nowości zawierają niedopracowane i niebezpieczne dla użytkownika oprogramowanie. Jeśli więc gromadzimy w swych elektronicznych gadżetach bardzo ważne informacje, warto się zastanowić nad sensem podążania za każdą z nowości. Pamiętajmy również koniecznie o aktualizowaniu nie tylko oprogramowania pracującego w naszych komputerach, ale również w każdym innym sprzęcie elektronicznym.

[źródło]