CERT-XMCO : Palm WebOS vulnérable à de nombreuses attaques via l’envoi de SMS
avril 2010 par CERT-XMCO
* Palm Pwned : Researchers Hack WebOS With Text Messages
– Date : 20 Avril 2010
– Programme : Palm WebOS
– Gravité : Faible
– Exploitation : Distante
– Description :
Des chercheurs du groupe Intrepidus ont découvert une faille de sécurité critique au sein du module gérant les SMS au sein de Palm WebOS.
En envoyant des SMS spécialement conçus, les chercheurs ont pu injecter du code HTML/Javascript au sein d’une application WebOS. En exploitant cette vulnérabilité, il est possible d’ouvrir un site internet, lancer un téléchargement, installer un certificat root ou encore désactiver l’interface sans fil...
Un grand nombre d’attaques "classiques" pourraient également être menées par ce biais...
Malgré la faible part de Palm sur le marché des smartphones, espérons qu’une mise à jour soit rapidement publiée.
– Référence :
http://intrepidusgroup.com/insight/2010/04/webos-examples-of-sms-delivered-injection-flaws/
http://threatpost.com/en_us/blogs/palm-pwned-researchers-hack-webos-text-messages-041910
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0477