Получайте оповещения

от PROPERM.RU в вашем браузере

Подписаться Нет, спасибо

Вконтакте

Facebook

Подписаться на рассылку

Миллионы «Нокий» можно взломать гиперссылкой

13 августа 2008, 12:03

Миллионы «Нокий» можно взломать гиперссылкой
Польский специалист по безопасности решал продать подробное описание уязвимостей в Symbian S40 компаниям Nokia и Sun за 20 тысяч евро.

Польский специалист по безопасности Адам Говдяк утверждает, что нашел серьезные «дыры» в платформе Symbian S40, используемой в миллионах телефонов Nokia среднего уровня. Уязвимости позволяют удаленно загрузить на любой S40-аппарат программу с неограниченными правами на использование всех ресурсов телефона.

Установка вредоносной программы может быть произведена с помощью особой команды WAP-push, для которой не потребуется подтверждения пользователя. Программа для контроля над устройством написана на Java, но по умолчанию такие приложения не имеют доступа ко многим функциями телефона без разрешения пользователя. Однако, существуют подписанные сотовым оператором или производителем телефона программы, которые могут выйти в Интернет или получить доступ к памяти аппарата без участия пользователя. Такую программу сумел имитировать Адам Говдяк.

Необычно во всей этой истории то, каким образом исследователь попытался получить деньги за свою работу. Компании Nokia и Sun получили предложение купить 178 страниц исследования и 14 тысяч строк кода по 20 тысяч евро на каждого сотрудника, который получит доступ к материалам. Решение польского программиста кажется странным – при желании владельцы платформы S40 (Nokia) и технологии J2ME (Sun) могут подать в суд на «хакера», вымогающего деньги за описание уязвимостей и получить документы бесплатно, по судебному решению.

Адам Говдяк считает, что аналогичная уязвимость может содержаться и в других платформах с поддержкой Java. Однако здесь стопроцентной уверенности нет, так как платформы в основном закрытые и каждый производитель телефонов может по-своему настраивать виртуальную машину Java. Кстати, может быть неспроста J2ME до сих пор не поддерживается в iPhone, несмотря на все усилия Sun?