webOS 3.0 es vulnerable al robo de datos

Los expertos en seguridad Orlando Barrera y Daniel Herrera han publicado una prueba de concepto que demuestra fallos en los dispositivos con webOS 3.0, que posibilitan la inyección de código en la aplicación “Contactos” y el control remoto a través de un ataque de “cross-site-scripting” (XSS).

El problema es la falta de seguridad en algunos de los campos de esta aplicación que permite importar código HTML o JavaScript malicioso, tanto en la recién lanzada HP TouchPad como en la familia de smartphones de Hewlett-Packard gobernados por webOS.

Tanto la TouchPad como los smartphones de HP son vulnerables a la inyección de código malicioso

Esto permitiría a los ciberdelincuentes hacerse con la base de datos que contiene direcciones de email, mensajes y contactos, entre otra información personal. Además, para aprovechar esta vulnerabilidad, no se necesitaría autenticación.

Para demostrar lo fácil que es usar un ataque XSS en webOS, los investigadores probaron a inyectar código JavaScript en la información de contacto dentro de la red social LinkedIn y a ejecutar el archivo malicioso, y lo hicieron desde una tableta HP en una tienda Best Buy tal y como se puede observar en un vídeo publicado en Youtube.

Posteriormente lograron repetir la hazaña utilizando Facebook y otras aplicaciones que no están “saneadas” para manejar correctamente código en campos de texto de webOS.

“Ahora que HP está tratando de entrar en el mercado del tablet PC, tiene una cuota potencialmente más grande y se convertirá en objetivo de los ciberdelincuentes”, advierte Barrera, que también asegura que webOS es vulnerable a la falsificaciones de petición en sitios cruzados.

Por su parte, la compañía asegura estar tabajando en una solución. “Hemos identificado el problema y será abordado en la próxima actualización OTA“, ha explicado un portavoz de HP. Mientras tanto, se recomienda a los usuarios no aceptar registros de contacto de fuentes desconocidas.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

3 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

3 días ago