Telekomunikacja jak na dłoni
Wiadomości Polak znalazł niebezpieczne luki w nokiowskiej Javie

Polak znalazł niebezpieczne luki w nokiowskiej Javie

LuiN 12 Sierpnia 2008 13:47

0 0

Adam Gowdiak znalazł dwie niebezpieczne luki w Javie, którą zaimplementowano w telefonach Nokii Series 40. Błędy mogą posłużyć do zdalnego nagrywania połączeń czy przechwytu danych zapisanych w telefonie.

Problem dotyczy oprogramowania firmy Sun Microsystems będącego integralną częścią platformy programistycznej Series 40 Nokii. Telefony S40 fińskiego producenta to około 140 modeli sprzedanych na świecie w ilości około 100 mln sztuk. Skala problemu jest więc duża.

Luki mogą być wykorzystane do podsunięcia użytkownikowi telefonu złośliwej aplikacji, która po zainstalowaniu pozwoli na zdalne wysyłanie SMS-ów, nawiązywanie połączeń czy też udostępni przestępcy dane zapisane na karcie SIM i w pamięci telefonu.




Do ataku nie jest potrzebny fizyczny dostęp do telefonu - wystarczy przesłanie odpowiednio spreparowanej wiadomości. Wszelkie zdalnie wykonywane operacje nie są widoczne dla użytkownika zainfekowanego aparatu.

Gowdiak ma już na koncie podobne osiągnięcia. W 2004 roku ujawnił lukę w J2ME dotyczącą około 250 mln dostępnych wtedy telefonów, a wraz z grupą Last Stage of Delirium ujawnił poważne luki bezpieczeństwa systemów Windows (błąd w interfejsie komponentu DCOM). Teraz do zagadnienia podchodzi można powiedzieć, że komercyjnie.

Polski specjalista ds. bezpieczeństwa przekazał część informacji na temat luk firmom Nokia i Sun, oczekując od firm 20 tys. euro za komplet materiałów. Pieniądze chce spożytkować na stworzenie firmy Security Explorations, która zajmować będzie się badaniami w zakresie bezpieczeństwa informatycznego.

Źródło tekstu: The Register, wł     

Dodaj do:
w sumie: 25
  • 0

    6.  2008-08-12 14:35:41

    No mało, ja tam 2 miliony bym poprosił ;-) ALbo 200 milionów...

  • 0

    7.  2008-08-12 14:36:19

    a ja i tak wcześniej wiedziałem...

  • 0

    8. ~  2008-08-12 14:37:26  host: aaws179.neoplus.adsl.tpnet.pl

    Dokładnie - Kreml by kupił i dobrze zapłacił. Tak samo Chiny. Tak swoją drogą to o tej luce i wielu innych wie zapewne od dawna nie jedna osoba oraz oczywiście producenci javy. Już wiele cennych danych za ich pomocą wykradziono ogłupiałym japiszonom. To tylko taka moja teoria spiskowa. Z drugiej strony pozwolę sobie zauważyć że to luka w s40 a nie s60, więc być może człowiek ma inne asy w rękawie (dużo cenniejsze), a tym sypnął na zlecenie producentów aby usunąć z rynku trochę tej przestarzałej technologii. Ciekawy jestem bardzo czy pojawią się upgrejdy np. do 7650? Jak myślicie?

  • 0

    9. ~RaideR  2008-08-12 14:38:11  host: 213.25.189.50

    2mln od każdej sztuki telefonu? Dlatego od ciebie nie kupują bugów :D

  • 0

    10. ~RaideR  2008-08-12 14:39:25  host: 213.25.189.50

    też palnąłem... xD 2euro... nie 2mln xD

  • 0

    11.  2008-08-12 14:54:00

    Taka znajomosc Javy... Moje marzenie... Musi byc naprawde dobry. Stuprocentowy podziw.

  • 0

    12. ~Pu94  2008-08-12 14:54:55  host: elf4.neoplus.adsl.tpnet.pl

    Ha ha niech sie cieszy lepiej gostek z enie pojechali z nim jak z home.pl z tym gosciem z hacka co tez tam lekka luke znalazl. Chcial troche grosza od nich za to i zadobrze to sie nie skonczylo. Lepiej wiec chciec mniej jak wiecej pazerusy :)

  • 0

    13.  2008-08-12 15:01:33

    ~Pu94 - wystarczy, że każdy wycenia swoją pracę za tyle, ile rzeczywiście jest warta a nie ile ktoś może zapłacić... Nie wiem czemu, na myśl mi przychodzą procesy o odszkodowanie za poparzenie języka kawą w amerykańskiej kawiarni - bo kelner nie uprzedził, że jest... gorąca ;-)

  • 0

    14. ~RaideR  2008-08-12 15:02:16  host: 213.25.189.50

    issa: ja tam bym się zadowolił połową jego umiejętności ;P można by sie w kilka lat ustawić do końca zycia ;D

  • 0

    15. ~mirekb  2008-08-12 15:03:24  host: hii228.internetdsl.tpnet.pl

    to pokazuje ze inwigilacja moze byc banalnie prosta.ile osób umie dobrze programowac w javie i dobrze ją rozumiec??stosunkowo niewiele.nich zarabia jak sie da,sam będzie moze za pare lat dyrektorem ds. bezpieczenstwa w jakims swiatowym koncernie

  • 0

    16. ~Pu94  2008-08-12 15:16:09  host: elf4.neoplus.adsl.tpnet.pl

    nie kazdy musi robic to dla kasy ani wielkiego szoł. Sam znam typow co znaja sie na tym i owym a nawet w tym zawodzie nie pracuja.

  • 0

    17. ~RaideR  2008-08-12 15:43:05  host: 213.25.189.50

    Pu94: ooo takich to ja sporo znam :D ale znam i takich co nie mają bladego pojęcia, a pracują na stanowiskach informatycznych :D I w sumie tak jest w wielu dziedzinach :D

  • 0

    18.  2008-08-12 15:59:37

    ~Pu94 - hobby - znajomość tematu może być znacznie wyśza niż praktykowany zawód... znam takich ludzi - mają wiedzę większą niż profesjonaliści, jednak traktują to jako hobby ;-) Pieniądze zarabiają na czym innym mimo, że nie są jakoś wybitnie dobrzy...

  • 0

    19. ~kwistas  2008-08-12 16:37:09  host: w3cache.wignet.pl

    Nokia z serii S40 są biedne porównując np. SE w tej samej kategorii cenowej.

  • 0

    20. ~  2008-08-12 16:42:56  host: apn-77-115-95-91.gprs.plus.pl

    aż strach używać telefonu,pełna inwigilacja

  • 0

    21. ~Templariusz  2008-08-12 17:23:36  host: staticline23090.toya.net.pl

    NOKIA SUUUUX !!! Już od dawna to mówiłem :D

  • 0

    22. ~Pu94  2008-08-12 17:44:47  host: elf4.neoplus.adsl.tpnet.pl

    Ostatnio mialem przyjemnosc pracowac w siedzibie nfz i tam informatycy nie maja pojecia jak obslugiwac sie pilotem od monitoringu a maja po 55-60 lat a potem sie dziwic ze znaleziono bugi na servach z domen govu . A ze masa ludzi robi rozne rzeczy z pasji a nie z zawodu to normalne wystarczy wlesc na jabbera czy irca i ilu ludzi pomoze nam w czyms za frajer bo ich to jara.

  • 0

    23. ~  2008-08-12 21:48:37  host: aaws179.neoplus.adsl.tpnet.pl

    @all: Jesteście pewni że chodzi tu o znajomość Javy? Bo ja bym raczej powiedział że idzie o znajomość architektury ARM-a, IDA Pro i jakiegoś dekompilatora kodu. No i trzeba wiedzieć gdzie i czego szukać. Moim zdaniem to pic na wodę. Kto by się przejmował luką na s40, człowiek pewnie po cichu zgłosił też inne, cenniejsze bugi na s60, ale poprosili go grzecznie zeby siedział cicho, bo ujawnienie popsuło by wizerunek platformy. Idealista po prostu, ja tam bym zhandlował bug-a na jego miejscu a nie oczekiwał aż łaskawcy podziękują, a być może zechcą mnie ścigać, a na 100% będę pod obserwacją służb. A do Pu94: oczywiście TY byś załatał wszystkie dziury w serwerach rządowych ;) Przez 24h (nawet w kiblu) miałbyś pod nadzorem kilka apachy żeby tylko jakiś znajomy neokid z irca (kiedyś Twój kolega) nie zrobił deface-a dla zabawy (co zresztą mogło by się przerodzić w skandal - dziennikarze też muszą z czegoś żyć - a ty poleciałbyś na bruk i do końca życia miałbyś zszarganą opinię). Słowem Pu94, piękna postawa, patriotyczna, tylko ciekawe czy starczyło by Ci jeszcze czasu na użeranie się z biurwami którym odłączyła się myszka, sypiącym się softem m$ i innymi zadaniami administratorskimi za 1200/brutto. A nie pomyślałeś, że też kiedyś będziesz miał te 50 lat i dalej musiał pracować (bo ktoś podprowadził kasę z f/my ubezpieczeniowej) i przyjdą neptki uważające się za genialnych administratorów (znają apacha przecież), genialnych programistów (przecież php jest takie świetne - logika mln. much) i będą Cie chciały zrzucić ze stołka argumentując że nie umiesz obsługiwać IP-fridga (lodówka m$, obiera ziemniaki, robi loda...) za pomocą skryptów powłoki, a to przecież hit sezonu. Także proszę Cie, nie uogólniaj że wszędzie pracują miernoty, bo jak Ciebie ktoś zcharkieruje to odkryjesz jak duuużo wiedzy Ci brakuje.

  • 0

    24. ~  2008-08-13 00:10:17  host: f96-018.opera-mini.net

    Od dawna uzywamy tej luki.

  • 0

    25. ~  2008-08-13 06:16:46  host: f142-057.opera-mini.net

    zawsze sadzilem, ze nokje, to SZMELC

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-54-205-141-4.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.