研究人员揭露webOS最新黑客注入漏洞

日期: 2010-11-29 来源:TechTarget中国

  来自SecTheory的两名安全研究人员在黑客协会会议上揭露了webOS 1.4.x中的多个安全漏洞,其中最严重的注入漏洞能够使黑客远端命令及掌控系统,包括存取电话内的文件或是在手机的联络人程序中植入JavaScript后门程序以打造僵尸网络。

  这两名研究人员分别是Orlando Barrera与Daniel Herrera。Barrera表示,这是一个很简单的攻击程序,透过服务器影响终端使用者,远端命令与控制的情景很多方面都与僵尸网络很像,例如散布垃圾信息、点阅绑架或藉此赚取广告收入等。

  他们展示了两项攻击,先是发现了webOS中联络人程序的公司栏位是没有保护的,因此他们可以注入程序以取得Palm数据库中的文件,包括电子邮件、联络人名单或其他资讯等;在第二项攻击中他们嵌入一个JavaScript程序以使用键盘侧录程序或其他工具,这项攻击也可用来打造僵尸网络。

  不过,HP已于webOS 2.0测试版中修补了该联络人应用程序中的漏洞,但这两名研究人员仍旧发现其他的系统臭虫,包括浮点溢位、拒绝式服务及跨站脚本攻击等,还有另一些webOS原先的设计元素让该平台容易遭受XSS或其他攻击。Herrera指出,现阶段任何执行webOS并拥有连网功能的行动装置皆具有安全风险。

  Herrera说,webOS比其他智能手机更不安全的主要原因来自于该平台的环境简化了应用程序的开发,它移除了中间人机制,而且其交付机制也危害相关装置,因为这样一来像是JavaScript等网络技术就能利用该平台的系统命令,这全都是因为webOS企图打造一个简化应用程序开发的环境但同时也让黑客更易开发攻击程序。

  虽然现阶段针对智能手机的攻击行动多是良性的,但Barrera与Herrera预测,随着这些装置功能愈来愈强大且成为使用者工作上重要的工具时,这种情况很快就会改变。

  这并非是首次有人发现webOS的安全漏洞,去年已有研究人员揭露webOS的电子邮件漏洞,可让黑客存取手机内的文件,今年初亦有一个注入漏洞公诸于世,透过恶意简讯可让webOS装置自动开启网页或是关闭广播功能等。

  原文出处:http://www.enet.com.cn/article/2010/1129/A20101129784710.shtml

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐