研究人員揭露webOS漏洞

來自SecTheory的兩名資安研究人員在本周的駭客協會會議上揭露了webOS 1.4.x中的多個安全漏洞，其中最嚴重的注入漏洞（injection flaw）能夠使駭客遠端命令及掌控系統，包括存取電話內的檔案或是在手機的聯絡人程式中植入JavaScript後門程式以打造殭屍網路。

這兩名研究人員分別是Orlando Barrera與Daniel Herrera。Barrera表示，這是一個很簡單的攻擊程序，透過伺服器影響終端使用者，遠端命令與控制的情景很多方面都與殭屍網路很像，例如散布垃圾訊息、點閱綁架或藉此賺取廣告營收等。

他們展示了兩項攻擊，先是發現了webOS中聯絡人程式的公司欄位是沒有保護的，因此他們可以注入程式以取得Palm資料庫中的檔案，包括電子郵件、聯絡人名單或其他資訊等；在第二項攻擊中他們嵌入一個JavaScript程式以使用鍵盤側錄程式或其他工具，這項攻擊也可用來打造殭屍網路。

不過，HP已於webOS 2.0測試版中修補了該聯絡人應用程式中的漏洞，但這兩名研究人員仍舊發現其他的系統臭蟲，包括浮點溢位（floating-point overflow）、阻斷式服務及跨站腳本攻擊等，還有另一些webOS原先的設計元素讓該平台容易遭受XSS或其他攻擊。Herrera指出，現階段任何執行webOS並擁有連網功能的行動裝置皆具有安全風險。

Herrera說，webOS比其他智慧型手機更不安全的主要原因來自於該平台的環境簡化了應用程式的開發，它移除了中間人機制，而且其交付機制也危害相關裝置，因為這樣一來像是JavaScript等網路技術就能利用該平台的系統命令，這全都是因為webOS企圖打造一個簡化應用程式開發的環境但同時也讓駭客更易開發攻擊程式。

雖然現階段針對智慧型手機的攻擊行動多是良性的，但Barrera與Herrera預測，隨著這些裝置功能愈來愈強大且成為使用者工作上重要的工具時，這種情況很快就會改變。

這並非是首次有人發現webOS的安全漏洞，去年已有研究人員揭露webOS的電子郵件漏洞，可讓駭客存取手機內的檔案，今年初亦有一個簡訊注入漏洞公諸於世，透過惡意簡訊可讓webOS裝置自動開啟網頁或是關閉廣播功能等。（編譯/陳曉莉）