Adam Gowdiak znalazł dwie niebezpieczne luki w Javie, którą zaimplementowano w telefonach Nokii Series 40. Błędy mogą posłużyć do zdalnego nagrywania połączeń czy przechwytu danych zapisanych w telefonie.
Problem dotyczy oprogramowania firmy Sun Microsystems będącego integralną częścią platformy programistycznej Series 40 Nokii. Telefony S40 fińskiego producenta to około 140 modeli sprzedanych na świecie w ilości około 100 mln sztuk. Skala problemu jest więc duża.
Luki mogą być wykorzystane do podsunięcia użytkownikowi telefonu złośliwej aplikacji, która po zainstalowaniu pozwoli na zdalne wysyłanie SMS-ów, nawiązywanie połączeń czy też udostępni przestępcy dane zapisane na karcie SIM i w pamięci telefonu.
Do ataku nie jest potrzebny fizyczny dostęp do telefonu - wystarczy przesłanie odpowiednio spreparowanej wiadomości. Wszelkie zdalnie wykonywane operacje nie są widoczne dla użytkownika zainfekowanego aparatu.
Gowdiak ma już na koncie podobne osiągnięcia. W 2004 roku ujawnił lukę w J2ME dotyczącą około 250 mln dostępnych wtedy telefonów, a wraz z grupą Last Stage of Delirium ujawnił poważne luki bezpieczeństwa systemów Windows (błąd w interfejsie komponentu DCOM). Teraz do zagadnienia podchodzi można powiedzieć, że komercyjnie.
Polski specjalista ds. bezpieczeństwa przekazał część informacji na temat luk firmom Nokia i Sun, oczekując od firm 20 tys. euro za komplet materiałów. Pieniądze chce spożytkować na stworzenie firmy Security Explorations, która zajmować będzie się badaniami w zakresie bezpieczeństwa informatycznego.
Źródło tekstu: The Register, wł
