Log ind
Publiceret d. 22. august 2008 kl. 11.38
ANNONCE:
Nokia var dog undvigende, da talen faldt på den polske sikkerhedsekspert Adam Gowdiak, som fandt fejlene(/url], men kræver betaling for at at oplyse detaljerne til Nokia. Det er derfor stadig uvist, om Gowdiak har modtaget noget for sine anstrengelser.
"Af indlysende sikkerhedsårsager, vil vi ikke komme nærmere ind på detaljerne i vores aktiviteter med Sikkerhedsrådets arbejde," skriver Kaisa Hirvensalo, talskvinde for Nokia, i en e-mail.
Adam Gowdiak har konstateret problemer med Java 2 Micro Edition (J2ME), en applikations-struktur for mobile enheder. Gowdiak havde også fundet problemer med Series 40 OS. Nokia påstår, at Series 40 er den mest udbredte mobilenheds-platform.
Adam Gowdiak har udført sin forskning på Java Virtual Machine, og skriver blandt andet på sin [url=http://www.security-explorations.com/about.htm]virksomheds hjemmeside, at han tidligere har arbejdet for Sun Microsystems.
Virksomheder forsøger typisk at undgå at betale forskere for information, men tilskynder dog stadigvæk til hvad de kalder 'responsible disclosure'.
Nokia indrømmer, at nogle Series 40-produkter er sårbare over for angreb, der i værste fald kan resultere i den installation af applikationer uden ejerens godkendelse. Virksomheden fortæller også, at der er konstateret versioner af J2ME, hvor det er muligt at skaffe sig adgang til telefonens funktioner, som egentlig burde være begrænset til telefonens ejer.
"Vores undersøgelse har koncentreret sig om produkter, som kan have begge fejlene i sit system," skriver Nokia i en redegørelse.
Nokia udtaler, at der endnu ikke er meldinger om bevidste angreb på Series 40-enheder, og at problemet ikke på nuværende tidspunkt udgør en 'overhængende risiko'.
Selvom oplysningerne om sikkerhedsfejlene er begrænsede, siger Gowdiak at et angreb kan igangsættes ved at sende beskeder med indbyggede applikationer til et bestemt telefonnummer.
Gowdiak kunne ikke umiddelbart kontaktes for en kommentar.
Oversat af Jimmie Gustafsson
|
