Từ điển
Dịch văn bản
 
Từ điển Anh - Việt
Tra từ
 
 
Dịch song ngữ - Khoa học - Công nghệ
Researchers Find Security Flaws in Palm Smartphone webOS
Các nhà nghiên cứu tìm thấy lỗ hổng bảo mật trong HĐH WebOS của điện thoại thông minh Palm
Security researchers have uncovered three flaws in the Linux-based webOS platform used in Palm devices.
Các nhà nghiên cứu bảo mật đã khám phá 3 lỗ hổng trong nền tảng WebOS dựa trên HĐH Linux được sử dụng trong các thiết bị Palm.

Security researchers have uncovered three flaws in the Linux-based webOS platform used in Palm devices.

Security researchers uncovered critical flaws in webOS, including a cross-site scripting issue that could be used to gain remote control of devices and possibly build a botnet.

WebOS is the operating system used in Palm smartphones. The issues were uncovered by Orlando Barrera and Daniel Herrera of SecTheory, who discovered a total of three unique flaws - a floating-point overflow issue, a denial of service bug and the cross-site scripting vulnerability. The researchers are expected to present their findings later today at the Austin Hacker Association meeting in Texas.

According to Barrera, the vulnerabilities can be used by an attacker in a number of ways to threaten security.

“For example utilizing the cross-site scripting issue we are able to conduct the following attacks: remote command and control, by using JavaScript to dynamically modify the user experience an attacker is able to control aspects of the device over time,” he said. “This in essence is the foundation of a botnet, (and) with time and effort I believe it is feasible for an attacker to complete a functional command and control program for this device.”

In addition, the researchers were able to use XML HTTP Requests to access the local file system via “localhost.” Due to the access permissions associated to the web user, the researchers were able to read the local database file, Barrera said.

“This allowed us to exfiltrate sensitive user data stored within the database to a remote server under our control,” he added. “This database includes contact information, usernames, password hashes, and unencrypted communications like SMS and email.”

The specific cross-site scripting injection flaw used by the duo to demonstrate the attacks was fixed by Palm as of the webOS 2.0 beta. However, webOS 2.0 remains susceptible to the floating-point overflow and denial of service issues, Barrera said.

“Once we understood the design it was just a matter of identifying applications where: user-supplied content is visually presented to the user, and ideally from a remote source,” Herrera said. “The ‘Sync’ feature of the default "Contacts" application had both desired attributes allowing us to create and demonstrate the impact of these types of injection attacks against the WebOS platform.”

The researchers conducted their work on webOS version 1.4.x and the webOS 2.0 beta platforms developed by Palm. This is not the first time the security community has poked around on Palm devices. Earlier this year for example, the Intrepidus Group detailed a vulnerability impacting webOS’ SMS client.

“The user experience in webOS is constructed similar to a Web application: mark-up rendering (HTML/CSS) is used for the visual elements, JavaScript is used for dynamic updating/modification, and system commands are communicated via HTTP locally,” Herrera added. “This design leaves the webOS susceptible to attacks similar to Cross-site Scripting. If user-supplied content is not properly sanitized prior to it being included within the user interface, conditions are created where this content can execute commands against the system and modify the user experience.”

Các nhà nghiên cứu bảo mật đã khám phá 3 ̃ hổng trong nền tảng WebOS dựa trên HĐH Linux được sử dụng trong các thiết bị Palm.

Các nhà nghiên cứu bảo mật đã khám phá ra các ̃ hổng nghiêm trọng trong HĐH WebOS bao gồm vấn đề tấn công kịch bản liên trang (XSS – Cross-Site Scritping) thể được sử dụng để chiếm quyền điều khiển thiết bị từ xa thể xây dựng thành một mạng botnet.

WebOS hệ điều hành sử dụng trong các điện thoại thông minh Palm. Các vấn đề này được phát hiện bởi Orlando Barrera Daniel Herrera đến từ công ty nghiên cứu bảo mật SecTheory, họ phát hiện tổng cộng ba ̃ hổng đáng chú ý – một lỗ hổng về tràn vùng nhớ dấu phẩy động (floating-point), ̃ hổng tấn công từ chối dịch vụ (denial of service – DoS) ̃ hổng tấn công kịch bản liên trang (XSS – Cross-Site Scritping). Các nhà nghiên cứu dự định sẽ trình bày các ̃ hổng họ tìm thấy sau ngày hôm nay tại hội nghị Austin Hacker Association tại bang Texas.

Theo Barrera, các ̃ hổng này thể được sử dụng bởi kẻ tấn công bằng một số cách để de dọa bảo mật.

Ông ta nói: “ dụ cho việc sử dụng kỹ thật tấn công liên trang XSS, chúng tôi thể tiến hành tấn công sau đây: điều khiển ra lệnh từ xa bằng cách sử dụng JavaScript để tự động thay đổi trải nghiệm người dùng, kẻ tấn công thể kiểm soát các phần nào đó của thiết theo thời gian. “Đây thực chất nền tảng của botnet, với thời gian ̃ lực tôi tin rằng thể dễ dàng cho một kẻ tấn công hoàn thành một lệnh chức năng chương trình điều khiển cho thiết bị này.”

Ngoài ra, các nhà nghiên cứu cũng thể sử dụng phương pháp XML HTTP Request để truy cập vào hệ thống tập tin cục bộ thông qua “localhost”. Bởicác quyền hạn truy cập liên quan tới người dùng web, các nhà nghiên cứu thể đọc tập tin ̉ dữ liệu cục bộ. Barrere nói.

 Điều này cho phép chúng tôi lấy dữ liệu nhạy cảm của người dùng được lưu trong sỡ dữ liệumột máy chủ từ xa dưới quyền kiểm soát của chúng tôi.” Ông ấy nói thêm. ̉ dữ liệu này bao gồm thông tin liên lạc, tên người dùng, chuỗi băm (hash) của mật khẩu các thông tin không được hóa khác như tin nhắn SMS email.”

̃ hổng để chèn kịch bản tấn công liên trang cụ thể được sử dụng bởi bộ đôi này để trình diễn các cuộc tấn công được bố trí bởi Palm trên phiên bản webOS 2.0 beta. Tuy nhiên, webOS 2.0 vẫn còn tồn tại các ̃ hổng tràn vùng nhớ dấu phẩy động từ chối dịch vụ. Barrera nói.

 Một khi chúng ta hiểu được thiết kế chỉ một vấn đề của việc nhận dạng các ứng dụng : nội dung cung cấp cho người dùng được trình bày một cách trực quan cho người dùng tưởng từ một nguồn từ xa”. Herrea nói. Tính năng “Sync” của ứng dụng “Contacts” mặc định tả cả các thuộc tính cho phép chúng tôi tạo chứng tỏ tác động của các loại tấn công “injection – chènđe dọa nền tảng WebOS.

Các nhà nghiên đã tiến hành công việc của họ trên nền tảng WebOS phiên bản 1.4.x 2.0 beta do Palm phát triển. Đây không phải lần đầu tiên cộng đồng bảo mật đi sâu vào các thiết bị Palm. Chẳng hạn vào năm nay, công ty Intrepidus Group đã liệt một lỗ hổng tác động lên chương trình nhắn tin SMS của WebOS.

Herrera nói thêm:“Trải nghiệm người dùng trong webOS được xây dựng tương tự như các ứng dụng Web: Ngôn ngữ đánh dấu siêu văn bản (HTML/CSS) được sử dụng cho các yếu tố trực quan, JavaScript được dùng cho việc cập nhật/thay đổi động, các câu lệnh của hệ thống được giao tiếp qua giao thức HTTP cục bộ. Thiết kế này làm cho webOS dễ bị các cuộc tấn công giống như XSS. Nếu nội dung cung cấp cho người dùng không đúng cách trước khi được đưa vào bên trong giao diện người dùng, các điều kiện được tạo ra nội dung này thể thực thi các dòng lệnh để tấn công hệ thống thay đổi trải nghiệm người dùng.”

 
Đăng bởi: thanhtnguyen
Bình luận
Đăng bình luận
Bình luận
Đăng bình luận
Vui lòng đăng nhập để viết bình luận.