Levente, Irén
19 °C
35 °C

Java-programokkal támadható mobilok

2004.10.25. 11:51
A mobiltelefonok többségén megtalálható Java szoftverben két biztonsági hibát találtak, amelyek segítségével a támadók ellophatják személyes adatainkat és üzeneteinket, illetve tönkretehetik a mobilunkat. A hibákat kihasználó kártékony kódot szerencsére minden egyes készüléktípusra külön el kell készíteni, ami nagyban megnehezítheti a terjedésüket. A Sun Microsystems már közzétette a javítást.
A mobiltelefonok Java keretrendszerét érintő két biztonsági hibát a lengyel Adam Gowdiak, a Poznan Supercomputing and Networking Center informatikai biztonsággal foglalkozó szakértője fedezte föl. A kutató négy hónap alatt dolgozta ki azt a módszert, amellyel a Nokia 6310i telefonok felett átvehette az irányítást, de a kártékony Java-program telepítését és futtatását egyelőre nem tudta automatizálni. Gowdiak egyébként még augusztusban felhívta a Java-rendszereket gyártó Sun Microsystems figyelmét a hibára, és a cég állítólag két héten belül elküldte licencpartnereinek a hibás összetevő javított változatát.

"Még nincs információnk arról, hogy bárki megpróbálkozott volna a támadással, de ha történt is valami, a felhasználók egyszerűen kitörölhették az ismeretlen vagy megbízhatatlan forrásból származó telepítő fájlt" - mondta el a Cnetnek Eric Chu, a Sun Java 2 Micro Edition (J2ME) platformjával foglalkozó marketingigazgatója.

A java még hátravan

Gowdiak az Malajziában, októberben megtartott Hack in the Box konferencián elmondta, hogy a hibát komolyan kell vennünk, mivel a gyártók és a vírusirtó cégek még nem készültek fel ilyen típusú támadásokra, és a következő hónapokban valószínűleg még több biztonsági hibát fedeznek fel a mobilokban. A Java ráadásul igen elterjedt, mivel számos játék és üzleti szoftver ezen a platformon fut, és több száz mobilszolgáltató értékesít J2ME-alapú tartalmakat, például csengőhangokat. A Sun becslése szerint 2004 végén több mint félmilliárd Java-kompatibilis mobiltelefon lesz forgalomban, azaz háromból egy mobilon lesz Java.

A Sun a mostani hibákat azért nem hozta nyilvánosságra, mert nem áll kapcsolatban a végfelhasználókkal; ehelyett azt választotta, hogy a mobilgyártókra bízza a felhasználók értesítését, írta a Cnet.

A biztonsági hibákat felfedő Gowdiak olyan szoftvereket készített, amelyek a felhasználó tudta nélkül szöveges üzeneteket és fotókat küldenek a mobilról előre megadott címekre, csatlakoznak az internetre, lemásolják a mobilban található telefonkönyvet, illetve kitörlik azt. A szakértő szerint a biztonsági hiba segítségével akár szöveges üzeneteket rögzítő alkalmazások is telepíthetőek a mobilra.

Mások megoldásai

A Sunon kívül egyébként a Qualcomm is készít letölthető programok futtatására alkalmas mobilos platformot; a Binary Runtime Environment for Wireless, azaz BREW néven ismert rendszer kevésbé népszerű, de eddig még nem találtak benne biztonsági hibát. A Microsoft szintén készít operációs rendszert mobiltelefonra és tenyérszámítógépre, de idén nyáron ezekben is találtak hibákat.