176870

Palm WebOS per SMS gehackt

20.04.2010 | 15:31 Uhr |

Ein Sicherheitsunternehmen hat in WebOS, dem Betriebssystem von Palm Pre und Pixi, eine Reihe von Sicherheitslücken entdeckt. Ein Update auf WebOS 1.4 beseitigt diese Schwachstellen.

Der Hersteller Palm gilt als Erfinder des Handheld-Computers. Seine aktuelle Gerätegeneration aus Palm Pre und Pixi arbeitet mit dem von Palm selbst entwickelten Betriebssystem WebOS. Darin hat ein Sicherheitsunternehmen einige Schwachstellen entdeckt, die sich per SMS ausnutzen lassen. Der Hersteller hat sie in WebOS 1.4 bereits beseitigt.

Das Sicherheitsunternehmen Intrepidus Group hat erst jetzt veröffentlicht, welche Schwachstellen es bereits vor einiger Zeit in WebOS 1.3.5 gefunden hat. Man wollte offenbar abwarten, bis die meisten Nutzer ihre Geräte auf WebOS 1.4 aktualisiert haben. In dieser Version hat Palm die von Intrepidus vertraulich gemeldeten Fehler beseitigt, aktuell ist WebOS 1.4.1 .

Das Grundproblem liegt nach Ansicht der Intrepidus-Forscher in der Natur des Betriebssystems WebOS . Es setzt zwar auf einem der Hardware angepassten Linux auf, die Schnittstelle zwischen System und Benutzer ist jedoch ein Web-Browser. Anwendungen sind in HTML und Javascript realisiert. Sie nutzen eine bewusst einfach gehaltene Programmierschnittstelle (API), die kaum Sicherheitsvorkehrungen kennt.

So lassen sich nach Angaben von Intrepidus bereits mit einer SMS Angriffe realisieren, die etwa beim Lesen der SMS zum Öffnen einer Web-Seite, dem Herunterladen eines im Web abgelegten Dokuments oder dem Abspielen eines Videos führen. In gleicher Weise lässt sich die Funkverbindung des Pre oder Pixi ausschalten sowie der Benutzer zur Installation eines neuen Wurzelzertifikats auffordern oder zum Aktivieren des "Demo-Modus", der alle persönlichen Daten löscht.

Alle sechs Angriffe basieren auf der gleichen Schwachstelle im SMS-Client, die das Einschleusen und Ausführen von HTML-Code ermöglicht. Jede andere WebOS-Applikation, sei sie nun von Palm oder Dritten programmiert, inklusive solcher aus dem App Catalog, kann ähnliche Lücken aufweisen. Die Intrepidus-Forscher haben ein Video bereit gestellt, das die Angriffe demonstriert.

0 Kommentare zu diesem Artikel
176870