Die Sicherheitslücken, die die Forscher Orlando Barrera und Daniel Herrera beschreiben, treten im aktuellen Web-OS 1.4.x auf und sollen auch in Version 2.0, die das Unternehmen in Kürze veröffentlichen will, nicht behoben sein.
Wie der amerikanische News-Dienst Dailytech
berichtet, handelt es sich unter anderem um eine Fließkomma-Schwachstelle, ein Denial-of-Servie-Szenario und einen Cross-Site-Scripting-Fehler. Durch das Einschleusen von Javascript könne ein Angreifer so die Kontrolle über einzelne Teile des Palm Pré erlangen - das sei beispielsweise eine Methode, die Botnetze verwenden, um Geräte unter ihre Kontrolle zu bringen. Aufgrund eines Fehlers im Dateisystem des Web-OS sei es den Forschern überdies möglich gewesen, vertrauliche Informationen aus der Nutzerdatenbank auszulesen, darunter E-Mails, SMS-Nachrichten, Kontakte, Benutzernamen und die Prüfsummen der Passwörter.
Die Forscher hatten Palm im Juni über die Sicherheitsprobleme informiert. Nachdem sich das Unternehmen, das inzwischen zu HP gehört, außerstande gezeigt hatte, die Lücken zu schließen, habe man sich dazu entschieden, die Schwachstellen zu veröffentlichen.