Бреши, обнаруженные в системе безопасности ПО сотовых телефонов Nokia 6210, могут сделать эти устройства уязвимыми для атак, которые нацелены на достижение отказа в обслуживании (Denial of service, DoS). В последнее время такие атаки все чаще предпринимаются в компьютерных сетях.
Согласно информации фирмы @stake, уязвимости были обнаружены в коде, управляющем обработкой виртуальных бизнес-карт vCards, которые пересылаются с одного сотового телефона на другой с помощью популярной службы Short Message Service (SMS). Атаке могут подвергнуться телефоны Nokia 6210, на которых установлено программное обеспечение версии 05.27 и выше.
Карты vCards обычно применяются для передачи контактной информации от одного пользователя к другому. В зависимости от используемой модели телефона эти данные пересылаются либо по инфракрасному каналу, либо с помощью сообщений SMS. Впрочем, по словам директора @stake по архитектуре систем безопасности Олли Уайтхауса, передача инфракрасного сигнала в данном случае защищена достаточно надежно.
Принятые данные vCard записываются в телефонный каталог получателя и пересылаются другому программному приложению, которое управляет контактами, например Microsoft Outlook или IBM Lotus Notes. Злоумышленник может временно вывести из строя телефон Nokia путем создания виртуальной карты, которая слишком объемна для того, чтобы уместиться в одно сообщение SMS, и содержит поля с большим количеством символов форматирования строки. Когда телефон Nokia получает последнюю порцию разбитой на несколько частей карты, его программный буфер переполняется, и устройство перестает нормально работать. Выведенные из строя телефоны 6210 внезапно перегружаются, блокируются или прекращают работу с SMS-сообщениями.
Для ликвидации последствий атаки владельцу телефона нужно снять питающий аккумулятор, а затем снова установить его в аппарат. Переполнение буфера не оказывает воздействия на резидентное ПО телефона, состояние его памяти и хранимых данных.
Хотя выявленная уязвимость и не является критичной, результаты исследования @stake еще раз указывают на необходимость более внимательно относиться к написанию кода, который управляет так называемым «встроенным» оборудованием — сотовыми телефонами и устройствами PDA. Дело в том, что компании, создающие ПО для подобных устройств, обычно уделяют вопросам безопасности гораздо меньше внимания, чем разработчики ПО для настольных компьютеров.
Хотя относительная закрытость платформ для сотовых телефонов и инструментальных средств управления препятствует появлению новых типов атак, подобная ситуация не может сохраняться вечно. Повсеместное распространение сотовых телефонов и устройств PDA подготавливает плодородную почву для нового поколения хакеров. Если пользователи модели 6210 фактически не в состоянии предпринять для предотвращения подобных атак какие-либо действия, то операторам сотовой связи следует рассмотреть возможность установки proxy-серверов SMS для обнаружения и отсеивания деструктивных сообщений.