Computerworld News Service: Et par kritiske sikkerhedshuller i Sun Microsystems Java-teknologi til mobile enheder kan bruges af hackere til i al hemmelighed at foretage opkald, optage samtaler og få adgang til information på telefoner i Nokias Series 40, ifølge en polsk sikkerhedsekspert.
Adam Gowdiak, som tidligere har fundet talrige fejl i Java 2 Micro Edition (J2ME), udtaler, at han rapporterede de to sårbarheder til Sun torsdag og informerede Nokia samme dag om sikkerhedshullerne i virksomhedens mobile enheder.
Gowdiak følger dog en strategi til afsløring af sikkerhedshuller, som, han selv indrømmer, er kontroversiel. Han har kun forsynet producenterne med en lille del af den information, som han har afdækket. For at få resten, hvilket inkluderer proof-of-concept-kode, må Sun og Nokia punge ud med 20.000 euro, hvilket er næsten 150.000 kroner.
De nyligt fundne fejl kan udnyttes af angribere til at tvinge skadelige applikationer ind på Nokia Series 40-telefoner, ifølge Gowdiak. Disse applikationer kan designes til at udføre alle mulige ubehageligheder, såsom at foretage opkald fra telefonen, sende sms'er eller optage lyd og video.
Hackere kan også opnå adgang til enhver fil på Nokia-telefoner fra Series 40 og deres SIM-kort, læse og skrive i telefonens kontaktliste og meget mere, tilføjer Gowdiak.
"Dette kan fuldstændigt feje enhver sikkerhed til side inden for J2ME," siger Gowdiak i et interview mandag.
"Det lader hackere gøre hvad som helst skadeligt på enhver mobil enhed."
Også andre mobiler i fare
Alt i alt har Gowdiak fundet 14 sikkerhedshuller i Nokia Series 40-telefonerne, fortæller han. Series 40 er verdens mest benyttede mobile platform, ifølge Nokia. Gowdiak vurderer, at omtrent 140 forskellige mobile enheder fra Nokia bruger Series 40-platformen.
Det eneste, en angriber behøver for at hacke en bestemt Series 40-enhed, er dens telefonnummer, hævder Gowdiak. En sikkerhedsfejl i platformen kan udnyttes ved simpelthen at sende en serie skadelige sms'er til en given telefon.
"Ved at kombinere Java-sårbarhederne med fejlene i Series 40 kan man udvikle malware, som er simpelt at bruge. Og denne malware vil være usynlig for brugeren," siger han.
Gowdiak afprøvede dette på syv forskellige Nokia Series 40-enheder.
"Mindst en fra hver af de større familier i serien," siger han og mistænker, at andre producenters telefoner, der bruger J2ME, også kan være sårbare.
Ifølge Gowdiak indeholder den nyeste version af Suns Java Wireless Toolkit også de kritiske sikkerhedshuller. Dette toolkit er grundlæggende en softwareudviklers udviklingsværktøj, et såkaldt SDK, der bruges til at bygge trådløse applikationer baseret på J2ME.
Konsekvensen er, ifølge Gowdiak, at enhver applikation, der er bygget med dette udviklingsværktøj, er sårbar over for angreb, heriblandt applikationer, der er installeret på mobile enheder fra andre producenter end Nokia.
Nokia har ikke svaret på en henvendelse om kommentarer, og selvom Sun svarede tilbage på et opkald, havde talskvinden umiddelbart ingen information om sårbarhederne, beskrevet af Gowdiak.
Ifølge Gowdiak har sikkerhedshold fra begge virksomheder bekræftet at have modtaget hans rapporter i sidste uge.
"De lader til at arbejde på sagen," tilføjer han.
Men det er muligvis slet ikke sårbarhederne, som mange vil fokusere på, indrømmer Gowdiak.
For at finansiere sin start-up-virksomhed - polske Security Explorations - sælger Gowdiak kopier af sit arbejde for 150.000 kroner stykket. "Der ligger seks lange måneders arbejde bag disse informationer," udtaler han for at retfærdiggøre prisen. "Det var en enorm undersøgelse."
Vi er ikke skurke
Men Gowdiak er dog klar over, at denne indgangsvinkel vil være kontroversiel.
"Selvfølgelig. Hele sikkerhedssektoren er splittet over dette. Nogle vil være imod det, og andre vil være for det."
Mængden af information, som han har udleveret til Sun og Nokia, er 'sammenlignelig' med, hvad han tidligere har afsløret for producenter.
"Vi er ikke pengeafpressere, vi er ikke skurke. Valget er op til dem, om de vil købe vores sikkerhedsforskning, eller om de hellere vil have deres egne sikkerhedseksperter til at undersøge sårbarhederne.
"Men efter vores mening, så har de fået fuld viden om sikkerhedshullerne."
Gowdiak understregede også den særlige art af de sårbarheder, som han har opdaget.
"Dette er den første gang, at en så udbredt og kritisk sårbarhed er blevet demonstreret ved Nokias Series 40-enheder. Vi har bevist, at disse enheder kan hackes og inficeres med malware på en måde, der er meget sammenlignelig med pc'er."
Han var dog stadig i defensiven.
"Nogle vil angribe os og hade os for at sælge forskning på denne måde. Men som tiden går, vil folk selv kunne bedømme, om vi havde ret," siger han.
Han tøvede dog med at love at frigive mere information, efter Sun og/eller Nokia har lappet sikkerhedshullerne i deres software. "Vi overvejer det," var så langt, som han ville gå.
Oversat af Thomas Bøndergaard
