Польский специалист по безопасности Адам Говдяк заявил на этой неделе, что нашел серьезные "дыры" в платформе Symbian S40, которую использует компания Nokia в миллионах телефонов среднего уровня. Уязвимости позволяют удаленно загрузить на любой S40-аппарат программу с неограниченными правами использования всех ресурсов телефона, сообщает "Вебпланета" со ссылкой на The Register.
Одна WAP-команда, для которой не требуется подтверждение владельца телефона,
способна установить вредоносную программу на мобильный аппарат. Дальше
происходит управление захваченного устройства через специальную Java-программу,
что дает злоумышленнику возможность получить доступ к многим функциям телефона.
На многих моделях такие приложения не имеют права управлять телефоном без
подтверждения владельца, но существуют программы для выхода в интернет в целях
передачи памяти телефона заинтересованному лицу.
Исследователь из Польши попытался получить деньги за свою работу, разослав
компаниям Nokia и Sun предложения купить 178 страниц исследования и 14 тыс.
строк кода за 20 тыс. евро на каждого сотрудника, который получит доступ к
материалам. У экспертов поведение Адама вызвало недоумение, потому что владельцы
платформы S40 (Nokia) и технологии J2ME (Sun) могут подать в суд на нарушителя,
вымогающего деньги за описание уязвимостей и получить документы бесплатно по
судебному решению.
Адам Говдяк предполагает, что аналогичные уязвимости могут содержаться и в
других программных платформах с поддержкой Java. Многие другие платформы
закрыты, и каждый производитель телефонов предпочитает по-своему настраивать
виртуальную машину Java.