Обнаружены критические уязвимости в технологии Java Platform, Micro Edition (Java ME, ранее — Java 2 Micro Edition, J2ME) компании Sun Microsystems, которые могут быть использованы для несанкционированного доступа к мобильным телефонам Nokia 40-й серии (Nokia Series 40, Nokia S40).
По сведениям Wikipedia, в мире более 100 млн устройств Nokia 40-й серии, одной из популярнейших проприетарных мобильных платформ на базе операционной системы Nokia. Порядка 140 различных моделей телефонов построены на основе этой архитектуры. Финский гигант уверяет, что платформа Nokia S40 является самой распространенной.
Дыры позволяют внедрять вредоносное ПО, при помощи которого злоумышленник получает практически неограниченное управление аппаратом: он может совершать звонки, отсылать сообщения, записывать разговоры, включая видеоряд, получать доступ к любому файлу в телефоне, списку контактов, SIM-карте.
В понедельник, 11 августа 2008 года, Адам Говдяк, исследователь из Польши, и ранее находивший ошибки и уязвимости в Java ME, заявил, что еще в четверг уведомил Sun и Nokia о существующих проблемах. При этом он раскрыл производителям лишь часть информации о найденных уязвимостях — за остальные сведения Sun или Nokia должны заплатить 20 тыс. евро.
Говдяк сообщил о 14 найденных проблемах с безопасностью. Он проверил на уязвимость семь моделей серии — по крайней мере, один аппарат из каждого крупного семейства серии. Также он подозревает, что телефоны других производителей, использующих Java ME, уязвимы.
Для взлома какого-либо аппарата Nokia 40-й серии необходим лишь его телефонный номер — злоумышленнику достаточно отправить ряд специальным образом сформированных SMS. При этом пользователь ничего не заметит. Таким образом, существует реальная угроза создания вредоносных программ, распространяющихся по мобильным телефонам точно так же, как вирусы в персональных компьютерах.
Говдяк добавил, что последняя версия инструментария Sun Java Wireless Toolkit (ранее — J2ME Wireless Toolkit), предназначенного для создания мобильных приложений, также содержит критические ошибки, и поэтому любое приложение (не только для Nokia) на выходе становится открытым для атак.
Sun и Nokia пока никак не прокомментировали ситуацию, но Говдяк уверяет, что отвечающие за безопасность группы разработчиков в обеих компаниях подтвердили получение его уведомления.
Польский исследователь готов продать свой отчет за 20 тыс. евро. Средства необходимы для финансирования его «стартапа» — компании Security Explorations. Он не видит ничего предосудительного в этом, тем более в отчете содержится огромное число сведений за шесть месяцев изучения проблем безопасности.