Védtelen Nokia mobilok

Adam Gowdiak biztonsági kutató számos olyan sérülékenységre hívta fel a figyelmet, amelyek a Java 2 Micro Edition (J2ME) használatakor okozhatnak problémákat. Az általa felfedezett sebezhetőségekről már értesítette a Sun és a Nokia munkatársait. Azonban a hibák teljes körű leírását nem adta át, ugyanis 20.000 euróban határozta meg a biztonsági résekről szóló, részletekbe menő ismertető, valamint a hibák kihasználására alkalmas kód árát. Gowdiak a meglehetősen magas árat azzal indokolta, hogy a megvásárolható anyag hat hónapos kutatómunka eredményeként született meg.

Gowdiak szerint az általa felfedezett sebezhetőségek elsősorban a Nokia Series 40 platformra épülő mobiltelefonokat érintik, de könnyen elképzelhető, hogy más, J2ME kompatibilis készülékek esetében is kihasználhatók. A biztonsági résekben rejlő lehetőségekkel a támadók tulajdonképpen teljes mértékben átvehetik az érintett telefonok feletti "uralmat". Így például hívásokat kezdeményezhetnek, üzeneteket küldözgethetnek, hangot, illetve videót rögzíthetnek, kiolvashatják vagy módosíthatják a telefonkönyvet, és hozzáférhetnek a SIM kártyákon tárolt adatokhoz. Gowdiak úgy fogalmazott, hogy a sebezhetőségek révén a J2ME bármely biztonsági funkciója megkerülhetővé válhat. A hírek szerint a hibák kihasználásához mindössze speciálisan szerkesztett üzeneteket kell elküldeni a kiszemelt telefonokra.

Gowdiak szerint a Nokia Series 40 esetében 14 sérülékenység található. Ráadásul a Sun Java Wireless Toolkit további biztonsági hibákat rejt, amelyek szintén hozzájárulhatnak az érintett mobiltelefonok elleni támadásokhoz.

A Nokia és a Sun egyelőre nem reagált hivatalosan a Gowdiak által feltárt biztonsági problémákra. Gowdiak szerint ő mindkét cégtől kapott egy-egy visszaigazolást a sebezhetőségről szóló beszámoló megérkezéséről, ezért vélhetőleg a két cég szakemberei jelenleg is vizsgálják a sérülékenységeket.