文/陳曉莉 (編譯) 2008-08-12
雖然Gowdiak已在上周提供昇陽及Nokia漏洞報告的摘錄,但整份漏洞報告求售2萬歐元。
波蘭研究員Adam Gowdiak近日揭露,昇陽專為行動裝置打造的J2ME(Java 2 Micro Edition)平台含有兩個重大漏洞,這些漏洞並影響到Nokia的Series 40 (s40)平台手機。雖然Gowdiak已在上周提供昇陽及Nokia漏洞報告的摘錄,但整份漏洞報告求售2萬歐元。
Gowdiak宣稱他進行該項研究原本是為了驗證Nokia的裝置及其Series 40平台的安全性,最後則發現J2ME的重大漏洞,完整的報告中描述了這兩個漏洞影響了在有限資源(resource constrained)裝置中所部署的Java虛擬機器、攻擊相關漏洞的途徑、針對Series 40裝置漏洞的攻擊方法等。完整的報告總計有178頁,提供逾1.4萬行的概念驗證程式。
成功攻擊Nokia的作業系統可讓駭客在Series 40系列行動電話上遠端部署永久的後門程式,透過這些後門程式植入各種行動電話使用的惡意程式,包括電話資訊、檔案存取、MIDP應用程式管理、文字及多媒體簡訊的傳送、聲音或視訊的紀錄,或是撥打電話、存取連絡簿及SIM卡等。
Gowdiak在Series 40中發現14個安全問題,要入侵特定的Series 40行動電話僅需要取得使用者的電話號碼。
Gowdiak在報告中表示,全球手機用戶已超越10億,行動電話已成為使用者存取個人資訊、瀏覽網路、使用電子郵件,甚至用來連結網路銀行的裝置,這些類似個人電腦的使用行為讓它也成為駭客的攻擊標的。隨著手機與付款機制的緊密關係,也讓它更受駭客青睞,這意味著駭客非經授權存取手機便可能導致使用者金錢損失。
Gowdiak認為,除了Series 40作業系統外,其他以Java為基礎的行動電話作業系統也可能會受到影響。
InfoWorld引述Gowdiak指出,他知道出售報告可能備受爭議,不過他並不是在勒索,業者有權利選擇是否要購買他的安全報告或是自己調查相關漏洞。
昇陽及Nokia則尚未回應相關報導。(編譯/陳曉莉)
No comments:
Post a Comment