Адам Гаудиак, надеется, что за полное
описание проблемы Sun и Nokia выложат ему $30000. Пара критических
уязвимостей в технологии Java для мобильных устройств компании Sun
Microsystems может быть использована, по сегодняшнему заявлению
польского эксперта, для скрытого осуществления звонков, записи
разговоров и доступа к информации на телефонах Nokia, построенных на
платформе 40-й серии.
Адам Гаудиак, человек, который уже обнаружил множество уязвимостей в
Java 2 Micro Edition (J2ME), сказал, что в прошедший четверг он
уведомил об обнаруженных им уязвимостях компании Sun и Nokia. Однако за
раскрытие всех подробностей этих багов, включая исправление кода,
решающее проблему, этим компаниям придется выплатить ему около 30000
долларов.
Уязвимости могут быть использованы хакерами для внедрения в телефоны
вредоносных Java-приложений, которые, в свою очередь, позволят делать с
ними практически все, включая совершение звонков с телефона, отсылку
текстовых сообщений, и запись аудио и видео. Хакеры также смогут
получить доступ к любому файлу, получить права записи и чтение списка
контактов, доступ к SIM-карте и так далее.
В общей сложности Гаудиак рассказал, что он обнаружил 14 различных
проблем с телефонами Nokia, построенными на платформе 40-й серии. По
словам Nokia, это самая распространенная в мире мобильная платформа, на
которой на данный момент выпущено более 140 моделей различных
телефонов. Все, что хакеру нужно для взлома – это телефонный номер.
Атаку можно произвести просто отослав серию особым образом составленных
сообщений на определенный телефон. А скомбинировав все обнаруженные
уязвимости хакеры могут создать приложение, которое очень легко
развернуть и которое будет невидимым для пользователя, - подчеркивает
эксперт.
Гаудиак протестировал 7 различных телефонов на эту уязвимость, "по
крайней мере одну модель из каждой линейки Nokia в этой серии", но он
подозревает, что телефоны и других производителей, использующих J2ME
могут быть уязвимы. Кроме того им обнаружены критические уязвимости в
Sun Java Wireless Toolkit, наборе разработчиков. Исходя из этого
исследователь предполагает, что любые приложения, созданные при помощи
этого SDK, могут быть уязвимы для атак. xakep.ru
Взято с http://www.hackzona.ru
|