Los expertos en seguridad Orlando Barrera y Daniel Herrera han publicado una prueba de concepto que demuestra fallos en los dispositivos con webOS 3.0, que posibilitan la inyección de código en la aplicación “Contactos” y el control remoto a través de un ataque de “cross-site-scripting” (XSS).
El problema es la falta de seguridad en algunos de los campos de esta aplicación que permite importar código HTML o JavaScript malicioso, tanto en la recién lanzada HP TouchPad como en la familia de smartphones de Hewlett-Packard gobernados por webOS.
Esto permitiría a los ciberdelincuentes hacerse con la base de datos que contiene direcciones de email, mensajes y contactos, entre otra información personal. Además, para aprovechar esta vulnerabilidad, no se necesitaría autenticación.
Para demostrar lo fácil que es usar un ataque XSS en webOS, los investigadores probaron a inyectar código JavaScript en la información de contacto dentro de la red social LinkedIn y a ejecutar el archivo malicioso, y lo hicieron desde una tableta HP en una tienda Best Buy tal y como se puede observar en un vídeo publicado en Youtube.
Posteriormente lograron repetir la hazaña utilizando Facebook y otras aplicaciones que no están “saneadas” para manejar correctamente código en campos de texto de webOS.
“Ahora que HP está tratando de entrar en el mercado del tablet PC, tiene una cuota potencialmente más grande y se convertirá en objetivo de los ciberdelincuentes”, advierte Barrera, que también asegura que webOS es vulnerable a la falsificaciones de petición en sitios cruzados.
Por su parte, la compañía asegura estar tabajando en una solución. “Hemos identificado el problema y será abordado en la próxima actualización OTA“, ha explicado un portavoz de HP. Mientras tanto, se recomienda a los usuarios no aceptar registros de contacto de fuentes desconocidas.
Sus ingresos netos se elevan hasta los 7.700 millones de dólares, mientras que su beneficio…
Este negocio mejoró un 80 % durante el primer trimestre gracias a las GPU AMD…
Durante el primer trimestre aportaron 25.000 millones de dólares al total de 143.300 millones registrado…
Salesforce ha presentado su informe State of Service, revelando que el 94% de los servicios…
Juniper Research espera que sus transacciones crezcan desde los 3 billones de dólares previstos para…
Durante el primer trimestre de 2024 ingresó cerca de 48.600 millones de euros y rebasó…