Sikkerhedshuller i Nokia IntelliSync

Sikkerhedsfirmaer har fundet tre forskellige sårbarheder i Nokia IntelliSync Mobile Suite. Programmet er en serverside-applikation, der bruges til at forbinde data fra organisationen til mobile enheder. Med andre ord, det er den, der henter data hjemme fra.

Mangel på autentificering i visse ASP-scripts gør det muligt for en angriber at få en liste over brugere og deres brugernavne. Det gør det lettere for en angriber at lave et dictionary eller brute force-angreb på svage passwords.

Input til scriptsene de/pda/dev_logon.asp, usrmgr/registerAccount.asp, og de/create_account.asp bliver ikke ordentligt fjernet fra svarene. Derfor kan en angriber bruge svagheden til at udføre arbitrær HTML og scriptkode i brugerens browser.

Derudover er der et kendt sikkerhedshul i den Apache Tomcat Server, der følger med version 6.4.31.2, 6.6.0.107, og 6.6.2.2 af IntelliSync Mobile Suite. Det er muligt at få Tomcat-serveren til at spytte både en biblioteksudskrift såvel som kildekoden på sciptsene ud.

Der er ikke nogle patches til sårbarhederne, men løsningen er ifølge Nokia at opgradere til GSM 2.

Du kan se et indslag, som ComON-TV tidligere har lavet om IntelliSync Mobile Suite ved at klikke her .