Bug webOS: posible Botnet

Con Palm recién adquirida por HP la llegada de nuevos smartphones y tablets con sistema operativo webOS es cuestión de semanas. Sin embargo, la compañía SecTheory ha demostrado que el sistema operativo webOS tiene problemas importantes de seguridad -de maneras análoga a iOS o bien Android-. Los bugs encontrados podrían permitir que se explotaran para propósitos maliciosos, además de una vulnerabilidad en los permisos del sistema de ficheros.

Las vulnerabilidades existen en todas las versiones webOS disponibles hasta la fecha, webOS (1.4.x – 2.0). Los problemas incluyen un bug floating-point overflow y vulnerabilidades DoS y CSS, entre otros.

SeCTheory informó a Palm hace cinco meses de los problemas y parece que la compañía ha solucionado todos menos uno, al que parece no han prestado atención. Por ello han hecho pública la vulnerabilidad que permitiría el control remoto utilizando javaScript, es decir el origen de una posible botnet de dispositivos webOS.

Además de ello existe un problema de seguridad en el sistema de ficheros que permite enviar peticiones XML HTTP para acceder al mismo, ello permite acceder a la base de datos local del usuario, y leer emails, SMS, y las llamadas recientes, ya que se trata de una base de datos sin cifrar e incluye contraseñas, nombres de usuario, hashes de passwords y lo anteriormente mencionado en relación con las comunicaciones.