Адам Гаудиак, надеется, что за полное описание проблемы Sun и Nokia выложат ему $30000. Пара критических уязвимостей в технологии Java для мобильных устройств компании Sun Microsystems может быть использована, по сегодняшнему заявлению польского эксперта, для скрытого осуществления звонков, записи разговоров и доступа к информации на телефонах Nokia, построенных на платформе 40-й серии.

Адам Гаудиак, человек, который уже обнаружил множество уязвимостей в Java 2 Micro Edition (J2ME), сказал, что в прошедший четверг он уведомил об обнаруженных им уязвимостях компании Sun и Nokia. Однако за раскрытие всех подробностей этих багов, включая исправление кода, решающее проблему, этим компаниям придется выплатить ему около 30000 долларов.

Уязвимости могут быть использованы хакерами для внедрения в телефоны вредоносных Java-приложений, которые, в свою очередь, позволят делать с ними практически все, включая совершение звонков с телефона, отсылку текстовых сообщений, и запись аудио и видео. Хакеры также смогут получить доступ к любому файлу, получить права записи и чтение списка контактов, доступ к SIM-карте и так далее.

В общей сложности Гаудиак рассказал, что он обнаружил 14 различных проблем с телефонами Nokia, построенными на платформе 40-й серии. По словам Nokia, это самая распространенная в мире мобильная платформа, на которой на данный момент выпущено более 140 моделей различных телефонов. Все, что хакеру нужно для взлома – это телефонный номер. Атаку можно произвести просто отослав серию особым образом составленных сообщений на определенный телефон. А скомбинировав все обнаруженные уязвимости хакеры могут создать приложение, которое очень легко развернуть и которое будет невидимым для пользователя, - подчеркивает эксперт.

Гаудиак протестировал 7 различных телефонов на эту уязвимость, "по крайней мере одну модель из каждой линейки Nokia в этой серии", но он подозревает, что телефоны и других производителей, использующих J2ME могут быть уязвимы. Кроме того им обнаружены критические уязвимости в Sun Java Wireless Toolkit, наборе разработчиков. Исходя из этого исследователь предполагает, что любые приложения, созданные при помощи этого SDK, могут быть уязвимы для атак.

xakep.ru