20.000 Euro für Sicherheitslücken in Nokia-Handys
Ein polnischer Sicherheitsspezialist will zwei ernste Sicherheitslücken in Suns Mobile Java Umgebung (J2ME) entdeckt haben, die unter anderem Nokia in seinen Handys der Serie 40 verwendet. Details dazu will er aber nur im Rahmen seines Security-Research-Programms preisgeben – gegen 20.000 Euro.
Normalerweise kann man Applikationen nicht ohne weiteres auf einem Handy installieren. Der Anwender muss dazu nach dem Empfang seine Zustimmung geben. Außerdem darf ein Java-Programm nur bestimmte Funktionen nutzen, ohne dass es zumindest beim Anwender nachfragen muss. Beide Einschränkungen will Adam Gowdiak umgehen und ohne Zustimmung des Anwenders Hintertür-Programme auf den Geräten installieren können. Diese laufen dann angeblich mit den Rechten des Netzwerkbetreibers oder Geräteherstellers und können unter anderem beliebige Daten auslesen und Nachrichten versenden.
Tatsächlich ist vorgesehen, dass von den entsprechenden Herausgebern digital signierte Applikationen automatisch spezielle Rechte erhalten. Und spezielle Nachrichten beispielsweise des Netzbetreibers können durchaus spezielle Aktivitäten entfalten. Man kennt das beispielsweise von den Konfigurations-SMS, die den Internet-Zugang einrichten kann. Allerdings muss dies normalerweise auch bestätigt werden.
Gowdiak ist beileibe kein daherglaufener Spinner; er hat bereits vor vier Jahren gezeigt, dass man die Sicherheitsmechanismen in Java umgehen kann. Allerdings ist nicht klar, welche Vorausetzungen für einen erfolgreichen Angriff erfüllt sein müssen. Unter Umständen benötigt der Angreifer Kontrolle über die Netzinfrastruktur, was die Gefahr deutlich reduzieren würde. Nach eigenen Angaben hat er Sun und Nokia kontaktiert und eine Bestätigung erhalten, dass seine Vorabinformationen eingegangen sind.(Quelle:heise.de)
Normalerweise kann man Applikationen nicht ohne weiteres auf einem Handy installieren. Der Anwender muss dazu nach dem Empfang seine Zustimmung geben. Außerdem darf ein Java-Programm nur bestimmte Funktionen nutzen, ohne dass es zumindest beim Anwender nachfragen muss. Beide Einschränkungen will Adam Gowdiak umgehen und ohne Zustimmung des Anwenders Hintertür-Programme auf den Geräten installieren können. Diese laufen dann angeblich mit den Rechten des Netzwerkbetreibers oder Geräteherstellers und können unter anderem beliebige Daten auslesen und Nachrichten versenden.
Tatsächlich ist vorgesehen, dass von den entsprechenden Herausgebern digital signierte Applikationen automatisch spezielle Rechte erhalten. Und spezielle Nachrichten beispielsweise des Netzbetreibers können durchaus spezielle Aktivitäten entfalten. Man kennt das beispielsweise von den Konfigurations-SMS, die den Internet-Zugang einrichten kann. Allerdings muss dies normalerweise auch bestätigt werden.
Gowdiak ist beileibe kein daherglaufener Spinner; er hat bereits vor vier Jahren gezeigt, dass man die Sicherheitsmechanismen in Java umgehen kann. Allerdings ist nicht klar, welche Vorausetzungen für einen erfolgreichen Angriff erfüllt sein müssen. Unter Umständen benötigt der Angreifer Kontrolle über die Netzinfrastruktur, was die Gefahr deutlich reduzieren würde. Nach eigenen Angaben hat er Sun und Nokia kontaktiert und eine Bestätigung erhalten, dass seine Vorabinformationen eingegangen sind.(Quelle:heise.de)
Siehe dazu auch:
- J2ME security vulnerabilities 2008 von Security Explorations
1 Kommentare:
Ich bin mir nicht ganz einig, ob es sich bei seiner Geldforderung um eine gerechtfertigte Entlohnung oder schlicht um Erpressung handelt. Es hat in jedem Fall einen seltsamen Beigeschmack, besonders wenn man bedenkt, dass ein Experte, der eine so schwerwiegende Lücke entdeckt hat, durchaus noch andere Möglichkeiten hat, damit Geld zu verdienen, z.B. durch Vorträge.
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite