Il sistema operativo mobile Palm webOS è afflitto da gravi problemi di sicurezza. Orlando Barrera e Daniel Herrera di SecTheory hanno scoperto tre gravi falle che potrebbero esporre cellulari e altri dispositivi mobili ad accessi indesiderati e malfunzionamenti.
WebOS
Nello specifico i problemi riguardano sia le ultime versioni di webOS (1.4.x) che il prossimo webOS 2.0. Si parla come spiacevoli effetti di "buffer overflow", "denial of service" e rischi di "cross-site scripting". "L'esperienza utente in webOS ricorda quella di un'applicazione Web: il mark-up rendering (HTML/CSS) è utilizzato per gli element visuali, JavaScript è adoperato per le modifiche e l'aggiornamento dinamico, i comandi di sistema sono comunicati localmente via http", ha spiegato Barrera.
"Questo tipo di design lascia webOS suscettibile ad attacchi simili al Cross-site Scripting. Se i contenuti condivisi da un utente non sono controllati adeguatamente prima di essere integrati nell'interfaccia vi sono le condizioni che possa eseguire comandi contro il sistema e modificare il tutto".
Ovviamente Palm ha tutto l'interesse a non diventare parte di una botnet malware, ma la soluzione tarda a essere implementata. SecTheory ha avvertito l'azienda a giugno, ma solo a distanza di cinque mesi ha deciso poi di divulgare pubblicamente la falla. Sarebbe bene che venisse realizzato un fix poiché secondo Barrera la falla consente di sottrarre dati sensibili come username, password, e comunicazioni non criptate come gli SMS e mail.