Los expertos en seguridad Orlando Barrera y Daniel Herrera han publicado una prueba de concepto que demuestra fallos en los dispositivos con webOS 3.0, que posibilitan la inyección de código en la aplicación “Contactos” y el control remoto a través de un ataque de “cross-site-scripting” (XSS).
El problema es la falta de seguridad en algunos de los campos de esta aplicación que permite importar código HTML o JavaScript malicioso, tanto en la recién lanzada HP TouchPad como en la familia de smartphones de Hewlett-Packard gobernados por webOS.
Esto permitiría a los ciberdelincuentes hacerse con la base de datos que contiene direcciones de email, mensajes y contactos, entre otra información personal. Además, para aprovechar esta vulnerabilidad, no se necesitaría autenticación.
Para demostrar lo fácil que es usar un ataque XSS en webOS, los investigadores probaron a inyectar código JavaScript en la información de contacto dentro de la red social LinkedIn y a ejecutar el archivo malicioso, y lo hicieron desde una tableta HP en una tienda Best Buy tal y como se puede observar en un vídeo publicado en Youtube.
Posteriormente lograron repetir la hazaña utilizando Facebook y otras aplicaciones que no están “saneadas” para manejar correctamente código en campos de texto de webOS.
“Ahora que HP está tratando de entrar en el mercado del tablet PC, tiene una cuota potencialmente más grande y se convertirá en objetivo de los ciberdelincuentes”, advierte Barrera, que también asegura que webOS es vulnerable a la falsificaciones de petición en sitios cruzados.
Por su parte, la compañía asegura estar tabajando en una solución. “Hemos identificado el problema y será abordado en la próxima actualización OTA“, ha explicado un portavoz de HP. Mientras tanto, se recomienda a los usuarios no aceptar registros de contacto de fuentes desconocidas.
Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…
Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…
Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…
Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.
Ya cuenta en su poder con más del 90 % de las acciones del proveedor…
Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…