باحثون أمنيون يخترقون نظام WebOS الخاص بأجهزة Palm برسائل SMS بسيطة

نُشر يوم 21 أبريل 2010 بواسطة يوغرطة بن علي (Youghourta Benali)

باحثون أمنيون يخترقون نظام WebOS الخاص بأجهزة Palm برسائل SMS بسيطة

كشف باحثون أمنيون يعملون لدىIntrepidus  عن ثغرة أمنية تسمح باختراق نظام تشغيل WebOS المستخدم على أجهزة Palm و هذا بإرسال رسائل SMS إلى جهاز الضحية.

palm pre

الثغرة تكمن في مستوى الوحدة المسؤولة عن الـ SMS في الإصدار 1.3.5 من نظام WebOS حيث أنها لا تقوم بفلترة محتوى الرسائل كما يجب قبل فتحها و هو ما يمكن من إرسال أي نوع من المحتويات عبر الـ SMS، حيث تمكن الباحثون من حقن شيفرات HTML داخل الرسائل تمكنهم من الحصول على مبتغاهم.

حسب ما نشره الباحثون، فإن المشكل يرجع في جذوره إلى كون نظام WebOS عبارة عن متصفح ويب قبل كل شيء، و أن تطبيقاته مكتوبة بالـ HTML و الـ Javascript، مما يسمح لدى حقن شيفرات HTML من فتح مواقع معينة، أو تنفيذ بعض الأوامر.

للتذكير فإن الإصدار الحالي من نظام WebOS  هو 1.4.1.1 و التي لا تحتوي على هذه الثغرة، بحكم أن الباحثين لم يكشفوا عنها إلا بعد أن تم إبلاغ Palm و قامت بتصحيح الثغرة.

الفيديو التالية توضح 6 سيناريوهات مختلفة طبقها الباحثون لتوضيح الثغرة و كيفية استغلالها:

يمكن قراءة المزيد عن الثغرة من هنا