研究人员揭露webOS最新黑客注入漏洞

来自SecTheory的两名安全研究人员在黑客协会会议上揭露了webOS 1.4.x中的多个安全漏洞,其中最严重的注入漏洞能够使黑客远端命令及掌控系统,包括存取电话内的文件或是在手机的联络人程序中植入JavaScript后门程序以打造僵尸网络。

这两名研究人员分别是Orlando Barrera与Daniel Herrera。Barrera表示,这是一个很简单的攻击程序,透过服务器影响终端使用者,远端命令与控制的情景很多方面都与僵尸网络很像,例如散布垃圾信息、点阅绑架或藉此赚取广告收入等。

他们展示了两项攻击,先是发现了webOS中联络人程序的公司栏位是没有保护的,因此他们可以注入程序以取得Palm数据库中的文件,包括电子邮件、联络人名单或其他资讯等;在第二项攻击中他们嵌入一个JavaScript程序以使用键盘侧录程序或其他工具,这项攻击也可用来打造僵尸网络。

不过,HP已于webOS 2.0测试版中修补了该联络人应用程序中的漏洞,但这两名研究人员仍旧发现其他的系统臭虫,包括浮点溢位、拒绝式服务及跨站脚本攻击等,还有另一些webOS原先的设计元素让该平台容易遭受XSS或其他攻击。Herrera指出,现阶段任何执行webOS并拥有连网功能的行动装置皆具有安全风险。

Herrera说,webOS比其他智能手机更不安全的主要原因来自于该平台的环境简化了应用程序的开发,它移除了中间人机制,而且其交付机制也危害相关装置,因为这样一来像是JavaScript等网络技术就能利用该平台的系统命令,这全都是因为webOS企图打造一个简化应用程序开发的环境但同时也让黑客更易开发攻击程序。

虽然现阶段针对智能手机的攻击行动多是良性的,但Barrera与Herrera预测,随着这些装置功能愈来愈强大且成为使用者工作上重要的工具时,这种情况很快就会改变。

这并非是首次有人发现webOS的安全漏洞,去年已有研究人员揭露webOS的电子邮件漏洞,可让黑客存取手机内的文件,今年初亦有一个注入漏洞公诸于世,透过恶意简讯可让webOS装置自动开启网页或是关闭广播功能等。