Szerző: Dojcsák Dániel

2008. augusztus 22. 13:27

Beismerte a Nokia a Series 40 sérülékenységét

Megerősítette a Nokia is azt a hírt, miszerint a nagyságrendileg 100 millió telefonkészüléket számláló Series 40 platform operációs rendszere súlyos biztonsági sérülékenységeket tartalmaz. A biztonsági résen keresztül jogosulatlanul telepíthetők és indíthatók alkalmazások a telefonon.

[HWSW] Megerősítette a Nokia is azt a hírt, miszerint a nagyságrendileg 100 millió telefonkészüléket számláló Series 40 platform operációs rendszere súlyos biztonsági sérülékenységeket tartalmaz. A biztonsági résen keresztül jogosulatlanul telepíthetők és indíthatók alkalmazások a telefonon.

Tíz nappal ezelőtt Adam Gowdiak, lengyel kutató jelentette be, hogy két komoly sérülékenységet talált a Nokia Series 40 készülékekben, melyről értesítette a J2ME-t kifejlesztő Sun-t és még ugyanazon a napon a készüléket gyártó Nokiát is. A korábban is számos Java 2 Micro Edition hiba felfedezéséről ismertté vált kutató ezúttal nem osztott meg minden részletet gálánsan a gyártóval, hiszen saját bevallása szerint hat hónapnyi munkája fekszik ezen biztonsági hibák felderítésében, ezért csak éppen annyi információt villantott meg a Nokia és a Sun előtt, amivel bizonyítja, hogy valóban sebezhetőséget talált. A teljes bizonyítás és a megoldás ára a lengyel kutató szerint 20 000 eurót ér, ami teljesen korrekt ár egy fél éves munkáért.

A Nokia ugyan magát a hibát elismerte, de arról mélyen hallgat, hogy a szakember által kért összeget kifizették-e. Viszont a lengyel is úgy nyilatkozott, hogy nem fogja megmondani, hogy megkapta-e a pénzt és ha igen, akkor kitől, viszont azt kikötötte, hogy csak és kizárólag jó hírű, ellenőrizhető cégnek hajlandó átadni a pénz ellenében a 180 oldalas teljes kutatást, illetve a 14 ezer soros bizonyítást (PoC). Gowdiak feltételei és a Nokia vállalati kommunikációjárét felelős Mark Durrant nyilatkozata alapján -- miszerint már rendelkeznek a teljes dokumentiációval, viszont feltételezhető, hogy megtörtént a 4,6 millió forintos tranzakció.


Távolról támadható

A világ legnagyobb mobilgyártójának a viselkedése most újra lángra lobbanthatja az örök vitát az IT biztonsági szakértők között, hogy vajon a biztonsági rések felfedezőit kell-e jutalmaznia annak a cégnek, melynek a terméke érintett. A gyártók általában kitérnek a fizetés elől és igyekeznek valahogy másképpen ösztönözni a kutatókat arra, hogy korrekt módon a nyilvánosság bevonása előtt értesítsék őket a hibákról. A kifizetéseket főleg azért nem preferálják, mert nem szeretnék felbátorítani a sérülékenységvadászokat, akik ha keveslik az összeget, akkor azzal fenyegetőznek, hogy a hackerek kezére játsszák a felfedezéseket.

Ugyanakkor Mar Durrant elmondta, hogy "Nagyon könnyűnek tűnik, hogy az ember kitalál valamit, amivel váltságdíjat követelhet a cégektől, de a valóság az, hogy Gowdiak jelentős mennyiségű kutatást végzett el, így teljesen érthető, hogy szeretné valahogyan ellentételezni ezt."

A lengyel kutató még augusztus elején beszélt arról, hogy a mobil eszközök egyik legelterjedtebb alkalmazás-keretrendszerében, a J2ME-ben is számos hibát fedezett fel, hasonlóan a Series 40 operációs rendszeréhez. A problémát az jelenti, hogy a Nokia is azt állítja, hogy jelenleg a piacon lévő mobil termékeiknél a Series 40 a legelterjedtebb platform. Habár a sérülékenységről a nyilvánossággal kevés részletet osztottak meg, de Gowdiak szerint a támadás egyszerűen elindítható úgy, hogy a célzott készülékre egy üzenetet küldenek.

A Nokia szerint a készülékeiknek csak egy része van veszélyben a titkos telepítési hiba által, illetve azt is beismerték, hogy a J2ME korábbi változatainak hibáival a telefon olyan funkcióihoz lehetett hozzáférni, melyeknek egyébként lezárva kellene lenniük. Ezzel együtt a Nokia nem tart tömeges támadásoktól, szerintük ez a napvilágra került hiba nem képvisel jelentős kockázatot a felhasználók számára. Ezen állításukat azzal magyarázta Mark Durrant, hogy a sérülékenységek még jelenleg nem publikusak, illetve ha azok is lennének, akkor nem túl egyszerűen futtatható támadásokról van szó: "A megoldás használata komoly szaktudást igényel, ez nem olyan hack, amit bárki otthon a garázsban összeüt péntek délután. Azt viszont a Nokiánál sem tagadja senki, hogy a lengyel Adam Gowdiak egy igazán intelligens srác."

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról