חוקרי אבטחה חשפו מספר פגמים קריטיים ב-webOS המאפשרים לקוד זדוני לגשת לפונקציות המערכת. ניתן להשתמש בפרצות סקריפטים חוצה אתרים כדי לקבל גישה מרחוק למכשיר ואפילו לבנות רשת בוט.
חוקרי חברת האבטחה SecTheory אורלנדו בררה ודניאל הררה גילו שלושה חורים עיקריים - בעיית הצפת נקודה צפה, באג מניעת שירות ופגם הסקריפטים בין האתרים. בינתיים, HP עבדה על לפחות אחד מהחורים, באפליקציית "אנשי קשר", ולפי הדיווחים היא תתקן את זה החל מ-webOS 2.0 בטא. עם זאת, נראה שהאחרים יישארו ללא מענה.
Barrera הדגימה את הממצאים והסבירה כיצד ניתן להשתמש ב-XML HTTP Requests, ערוץ תקשורת אינטרנט אפשרי, כדי לגשת למערכת הקבצים המקומית. משמעות הדבר היא שניתן לחלץ נתוני משתמש ממסד הנתונים המקומי, אשר יכול לכלול כל דבר, החל מפרטי קשר ועד סיסמאות והודעות לא מוצפנות כמו מיילים ו-SMS. ראינו דאגות קודמות לגבי האבטחה של webOS מכיוון שלקוח ה-SMS נמצא גם הוא פגיע להתקפות.
מערכת ההפעלה משתמשת באופן נרחב ב-JavaScript כדי להפעיל באופן דינמי פונקציונליות ליבה, בעוד שפקודות מערכת מועברות דרך HTTP באופן מקומי. זה משאיר תוכן שנוצר על ידי משתמשים שאינו מוגן חשוף להתקפות. כמה אכפת לנו מזה תלוי רק במה שאנחנו מאחסנים בטלפונים שלנו. אבל הסמארטפונים מתקרבים להיות בכיס של כולם והופכים לחלק חיוני מחיינו האישיים. ויכול להיות שזה אומר לשים את האבטחה במקום הראשון.
