Konzultační firma Interpidus na základě objednávky nejmenovaného developera aplikací strávila cca rok odhalováním chyb v Palm webOS. Došla k „šokujícímu“ zjištění, že webOS má bezpečnostní chyby.
Hlavní chybou byly specificky formátované SMS (HTML injection), které mohly u starších verzí Palm webOS vést k zneužití telefonu: spouštění prohlížeče, stahování souborů etc. Více: http://intrepidusgroup.com/insight/2010/04/webos-examples-of-sms-delivered-injection-flaws/
Chyby jsou to rozhodně nepříjemné a neměly projít v Palmu před uvedením Palm webOS bez povšimnutí, možná i proto viceprezident pro software z Palmu odešel (byl odejit?).
Co ale firma Interpidus i reportér nějak zapomněli uvést je, že zjištěné resp. reportované chyby byly Palmem průběžně odstraňovány a aktuální verze Palm webOS 1.4 jimi netrpí.
V Interpidus pak na základě testování navíc došli k závěru, že v Palm webOS, který využívá web technologie pro tvorbu aplikací a tedy masivně využívá web browser, jsou tyto chyby způsobené údajně samotnou architekturou webOS.
To je dost diskutabilní tvrzení. Může být, že díky velkému sepětí Palm webOS s web technologiemi je webOS ohroženější chybami běžnými u browserů, ale žádný OS není 100% bezpečný a vždy je v něm možné odhalit chyby.
Důležitější je IMHO proto přístup k chybám v OS ze strany developera. Palm od uvedení Palm webOS v červnu 2010 vydal 10 bezpečnostních aktualizací (tj. v průměru jednu měsíčně) ve kterých vždy známé chyby adresoval.
Popis zabezpečení Palm webOS a tipy jak jej zlepšit přinesl už minulý rok web precentral.net
Zdroje: Palm webOS release notes, cnbc.com, precentral.com a Interpidus
Dodatek:
S bezpečnostními chybami se potýká iPhone OS i Android:
http://www.wired.com/gadgetlab/2009/07/apple-patch-sms/
http://www.engadget.com/2010/03/25/iphone-sms-database-hacked-in-20-seconds-news-at-11/
http://www.androidcentral.com/security-flaw-found-motorola-droid
Žádné komentáře:
Okomentovat