webOS 3.0 es vulnerable al robo de datos

Los expertos en seguridad Orlando Barrera y Daniel Herrera han publicado una prueba de concepto que demuestra fallos en los dispositivos con webOS 3.0, que posibilitan la inyección de código en la aplicación “Contactos” y el control remoto a través de un ataque de “cross-site-scripting” (XSS).

El problema es la falta de seguridad en algunos de los campos de esta aplicación que permite importar código HTML o JavaScript malicioso, tanto en la recién lanzada HP TouchPad como en la familia de smartphones de Hewlett-Packard gobernados por webOS.

Esto permitiría a los ciberdelincuentes hacerse con la base de datos que contiene direcciones de email, mensajes y contactos, entre otra información personal. Además, para aprovechar esta vulnerabilidad, no se necesitaría autenticación.

Para demostrar lo fácil que es usar un ataque XSS en webOS, los investigadores probaron a inyectar código JavaScript en la información de contacto dentro de la red social LinkedIn y a ejecutar el archivo malicioso, y lo hicieron desde una tableta HP en una tienda Best Buy tal y como se puede observar en un vídeo publicado en Youtube.

Posteriormente lograron repetir la hazaña utilizando Facebook y otras aplicaciones que no están “saneadas” para manejar correctamente código en campos de texto de webOS.

“Ahora que HP está tratando de entrar en el mercado del tablet PC, tiene una cuota potencialmente más grande y se convertirá en objetivo de los ciberdelincuentes”, advierte Barrera, que también asegura que webOS es vulnerable a la falsificaciones de petición en sitios cruzados.

Por su parte, la compañía asegura estar tabajando en una solución. “Hemos identificado el problema y será abordado en la próxima actualización OTA“, ha explicado un portavoz de HP. Mientras tanto, se recomienda a los usuarios no aceptar registros de contacto de fuentes desconocidas.