|
|
WIADOMOŚCI
Polak znajduje groźne błędy w Javie w Nokiach
Daniel Cieślak
|
(2008.08.12)
|
Adam Gowdiak - polski specjalista ds. bezpieczeństwa - znalazł dwie groźne luki w Javie zaimplementowanej do telefonów Nokia z serii 40 (Nokia Series 40). Błędy te mogą zostać wykorzystane przez przestępców do nawiązywania połączeń bez wiedzy użytkownika, nagrywania konwersacji czy przechwytywania danych zapisanych w pamięci telefonu.
Z informacji udostępnionych przez A. Gowdiaka wynika, że problem dotyczy oprogramowania firmy Sun Microsystems zastosowanego w telefonach fińskiego koncernu - chodzi o implementację technologii Java. Specjalista przekazał już część informacji na ten temat do Suna i Nokii - firmy otrzymały jednak na razie jedynie fragment szerszego opracowania na temat luk. Za komplet materiałów (zawierający m.in. exploita dowodzącego, że luki da się wykorzystać do atakowania użytkowników) Gowdiak wyznaczył cenę - 20 tys. euro. Pieniądze te mają zostać przeznaczone na stworzenie polskiej firmy - Security Explorations - która specjalizować się będzie w badaniach z zakresu bezpieczeństwa informatycznego.
Z przeprowadzonych przez Polaka analiz wynika, że luki mogą zostać wykorzystane do podsunięcia użytkownikowi telefonu Nokii z serii 40 złośliwej aplikacji, która - po zainstalowaniu w urządzeniu - pozwoli "napastnikowi" na przeprowadzanie najróżniejszych szkodliwych operacji. Wśród nich znalazło się m.in. nieautoryzowane nawiązywanie połączeń, wysyłanie wiadomości SMS, nagrywanie dźwięku (np. rozmów prowadzonych przez telefon) czy materiału wideo. Co więcej, przestępca będzie również mógł uzyskać dostęp do danych zapisanych w pamięci telefonu lub karcie SIM.
Warto odnotować, że platforma Nokia Series 40 wykorzystana została w ok. 140 różnych telefonach fińskiej firmy (to najpopularniejsza platforma Nokii). Szacuje się, że na świecie sprzedano łącznie ok. 100 mln takich urządzeń.
Problem wykryty przez Gowdiaka wydaje się niezmiernie poważny, ponieważ luki pozwalają na bardzo łatwe zaatakowanie telefonu - napastnik nie musi uzyskiwać do niego fizycznego dostępu, wystarczy, że będzie znał numer. To pozwoli mu na wysłanie "złośliwej" wiadomości, która zainstaluje w urządzeniu szkodliwy kod. Co ważne, ów złośliwy kod po zainstalowaniu nie będzie widoczny dla użytkownika.
Adam Gowdiak twierdzi, że przetestował siedem różnych telefonów komórkowych Nokii z najpopularniejszych rodzin dostępnych w ramach platformy Series 40 - wszystkie były podatne na atak. Specjalista nie wyklucza też, że luki występują również w telefonach innych firm, w których zainstalowana jest mobilna wersja Javy - J2ME. Z jego testów wynika bowiem, że błędy znajdują się także w oprogramowaniu Java Wireless Toolkit, służącym do tworzenia mobilnych aplikacji dla Javy.
Nokia i Sun na razie nie komentują tych doniesień.
|
| |  |
Zobacz też:
Aktualności Artykuły
|
Więcej informacji o:
Sun Microsystems Inc
|
|
|
| Sun przedstawia JavęFX 1.0 | (2008.12.05) | | Firma Sun Microsystems zaprezentowała nową odsłonę środowiska JavaFX, oznaczoną numerem 1.0. Ma ona stanowić alternatywę dla technologii Adobe Flash i Microsoft Silverlight. |
| Python 3.0 udostępniony | (2008.12.05) | | Udostępniono nową wersję języka programistycznego Python, oznaczoną numerem 3.0. Wydanie to jest pierwszym, które charakteryzuje się wsteczną kompatybilnością ze starszymi edycjami. |
| Sun łata 14 błędów w Javie. A może więcej? | (2008.12.04) | | Koncern Sun Microsystems udostępnił nową wersję Javy - wydanie 6.0 build 11 (dokładne oznaczenie to Java 1.6.0_11). Z nowego wydania usunięto co najmniej 14 luk w zabezpieczeniach - choć może ich być więcej, bo Sun dość nieprecyzyjnie informuje o szczegółach uaktualnienia. |
|
|
|
Zasoby premium - nie masz uprawnień dostępu: zapłać SMSem, 
Zasoby premium - dostęp przyznany
