Адам Гаудиак, надеется, что за полное описание проблемы Sun и Nokia выложат
ему $30000. Пара критических уязвимостей в технологии Java для мобильных
устройств компании Sun Microsystems может быть использована, по сегодняшнему
заявлению польского эксперта, для скрытого осуществления звонков, записи
разговоров и доступа к информации на телефонах Nokia, построенных на платформе
40-й серии.
Адам Гаудиак, человек, который уже обнаружил множество уязвимостей в Java 2
Micro Edition (J2ME), сказал, что в прошедший четверг он уведомил об
обнаруженных им уязвимостях компании Sun и Nokia. Однако за раскрытие всех
подробностей этих багов, включая исправление кода, решающее проблему, этим
компаниям придется выплатить ему около 30000 долларов.
Уязвимости могут быть использованы хакерами для внедрения в телефоны
вредоносных Java-приложений, которые, в свою очередь, позволят делать с ними
практически все, включая совершение звонков с телефона, отсылку текстовых
сообщений, и запись аудио и видео. Хакеры также смогут получить доступ к любому
файлу, получить права записи и чтение списка контактов, доступ к SIM-карте и так
далее.
В общей сложности Гаудиак рассказал, что он обнаружил 14 различных проблем с
телефонами Nokia, построенными на платформе 40-й серии. По словам Nokia, это
самая распространенная в мире мобильная платформа, на которой на данный момент
выпущено более 140 моделей различных телефонов. Все, что хакеру нужно для взлома
– это телефонный номер. Атаку можно произвести просто отослав серию особым
образом составленных сообщений на определенный телефон. А скомбинировав все
обнаруженные уязвимости хакеры могут создать приложение, которое очень легко
развернуть и которое будет невидимым для пользователя, - подчеркивает эксперт.
Гаудиак протестировал 7 различных телефонов на эту уязвимость, "по крайней
мере одну модель из каждой линейки Nokia в этой серии", но он подозревает, что
телефоны и других производителей, использующих J2ME могут быть уязвимы. Кроме
того им обнаружены критические уязвимости в Sun Java Wireless Toolkit, наборе
разработчиков. Исходя из этого исследователь предполагает, что любые приложения,
созданные при помощи этого SDK, могут быть уязвимы для атак.