Вредоносное программное обеспечение в телефоне

22.04.2010

Специалисты по безопасности из компании Interpidus Group  Interpidus говорят, что данная атака является очень опасной, так как все телефоны с операционной системой WebOS не имеют блокировки SMS и средств защиты от атак данного типа.В рамках демонстрации уязвимости они передали несколько злонамеренных SMS-сообщений, которые открывали сайты без ведома пользователя, выполняли загрузку приложений или просто отключали телефон.

В Interpidus Group разработали методику обхода систем безопасности операционной системы WebOS при помощи коротких текстовых сообщений. WebOS не имеет встроенных механизмов корректной валидации входящих и исходящих данных, получаемых в SMS. Поэтому хакер при помощи специального кода, размещаемого в SMS, может встроить рудиментарный HTML-код прямо в пять телефона. После взлома операционной системы потенциальный злоумышленник сможет разместить в телефоне вредоносное программное обеспечение.

В рамках демонстрации уязвимости разработчики методики передали несколько злонамеренных SMS-сообщений, которые выполняли разнообразные действия, например открывали сайты без ведома пользователя, выполняли загрузку приложений или просто отключали телефон. Операционная система WebOS пока не имеет средств защиты от атак данного типа.

"Баг становится особенно опасным ввиду того, что WebOS очень сильно завязана на технологиях HTML и JavaScript. Перед потенциальным злоумышленником открывается широкое поле деятельности", - говорится в заявлении компании. "Стоит отметить, что баг был вскрыт через несколько часов работы с ОС, что говорит о полном невнимании Palm к вопросам безопасности системы".