Взломан HP TouchPad

В новом тачпаде HP TouchPad обнаружена уязвимость, позволяющая инжектировать код в приложение Contacts. Использована уязвимость может быть для формирования мобильных ботнетов или же для кражи информации.

Уязвимость в тачпаде нашел Орландо Баррера, в конце недели он опубликовал proof-of-concept, эксплуатирующий эту уязвимость в WebOS 3.0, заявляет, что его последнее исследование, использующее XSS для внедрения кода в приложение, связано с уязвимостями, которые он обнаружил в ранней версии WebOS компании HP. Тогда, в ноябре, Барерра и его товарищ-исследователь Даниэл Херрера сообщили о своих находках, связанных с тем, что графа «Company» в приложении Contacts не имела достаточной проверки, что позволило им ввести код, позволяющий полностью получить базу данных Palm — переписку, адреса e-mail, контакты и т.д.

Баррера объясняет, что опубликовал XSS PoC потому, что это показывает, насколько просто взломать платформу, но он не хотел предоставлять информацию для хакеров-дилетантов о том как, например, скомпрометировать PDF reader на устройстве или совершить на нем атаку переполнения буфера.

«В теории, ты можешь даже попытаться создать бот-сеть используя эти уязвимости против нескольких пользователей WebOS и тайно внедряя JavaScript», — объясняет Баррера.