Vulnerabilidad loca en WebOS [Video]

por

Una de las principales gracias de WebOS (de Palm), es que el sistema operativo actúa como un navegador, interpretando fácilmente código XHTML. Esta es una de las grandes razones por las cuales programar para WebOS es relativamente fácil.

Si bien el abanico de ventajas que se dan a conocer al ser un sistema operativo cuyas aplicaciones son construidas a partir de XHTML, las desventajas no tardan en llegar, y al igual que todo navegador, es vulnerable a inyecciones de código, y ejecución de comandos remotos que pueden desencadenar acciones no deseadas por el usuario.

En el siguiente video, veremos algunos de los ataques que son enviados como “mensajes” hacia una Palm Pre, mediante Terminal, simulando mensajes enviados legitimamente; por lo que en teoría el recibir un SMS/Mail con un cuerpo que tenga código interpretable por WebOS, podría desencadenar una tragedia en el móvil.

Recordar, que en las líneas de código que inyectan, se usa el tag <iFrame>, que prácticamente es un artilugio que permite mostrar marcos flotantes en las páginas web, pero al parecer WebOS no lo está interpretando bien y se pueden realizar hasta las más impensables fechorias al enviar un mensaje.

La versión de WebOS que usan en este video, corresponde a la 1.3.5, por lo que es probable que el bug ya se encuentre aplastado y pisoteado, pero aun así, nunca faltan los que se rehusan a actualizar el software del dispositivo.

Link: Intrepidus Group (vía ZdNet)