Миллионы телефонов Nokia можно очень легко взломать

Польский специалист по безопасности Адам Говдяк (Adam Gowdiak) утверждает, что нашел серьезные "дыры" в платформе Symbian S40, используемой в миллионах телефонов Nokia среднего уровня. Как сообщает The Register, уязвимости позволяют удаленно загрузить на любой S40-аппарат программу с неограниченными правами на использование всех ресурсов телефона.

Польский специалист по безопасности Адам Говдяк (Adam Gowdiak) утверждает, что нашел серьезные «дыры» в платформе Symbian S40, используемой в миллионах телефонов Nokia среднего уровня. Как сообщает The Register, уязвимости позволяют удаленно загрузить на любой S40-аппарат программу с неограниченными правами на использование всех ресурсов телефона.

Установка вредоносной программы может быть произведена с помощью особой команды WAP-push, для которой не потребуется подтверждения пользователя. Программа для контроля над устройством написана на Java, но по умолчанию такие приложения не имеют доступа ко многим функциями телефона без разрешения пользователя. Однако, существуют подписанные сотовым оператором или производителем телефона программы, которые могут выйти в Интернет или получить доступ к памяти аппарата без участия пользователя. Такую программу сумел имитировать Адам Говдяк.

Необычно во всей этой истории то, каким образом исследователь попытался получить деньги за свою работу. Компании Nokia и Sun получили предложение купить 178 страниц исследования и 14 тысяч строк кода по 20 тысяч евро на каждого сотрудника, который получит доступ к материалам. Решение польского программиста кажется странным – при желании владельцы платформы S40 (Nokia) и технологии J2ME (Sun) могут подать в суд на «хакера», вымогающего деньги за описание уязвимостей и получить документы бесплатно, по судебному решению.

Адам Говдяк считает, что аналогичная уязвимость может содержаться и в других платформах с поддержкой Java. Однако здесь стопроцентной уверенности нет, так как платформы в основном закрытые и каждый производитель телефонов может по-своему настраивать виртуальную машину Java. Кстати, может быть неспроста J2ME до сих пор не поддерживается в iPhone, несмотря на все усилия Sun?

1nsk