[13.08.2008] В платформе S40 обнаружена серьезная уязвимость
Специалист Адам Говдяк (Adam Gowdiak) заявил о том, что нашел способ удаленной установки приложений с неограниченными правами доступа на устройствах, работающих под управлением S40.Суть уязвимости заключается в том, что специальное ПО, написанное на Java может быть удаленно загружено на телефон. При этом, приложение будет иметь полные права для доступа ко всем функциям и памяти телефона. Предварительно считалось, что загрузка осуществляется с помощью команды WAP-Push, однако, автор исследования утверждает, что механизм инсталляции несколько иной. Обычно, большинство приложений ограничены в своих правах доступа к функциям аппарата и не могут сделать ничего без предупреждения пользователя. За права доступа отвечает специальный цифровой сертификат и Адаму удалось разработать приложение с сертификатом, в котором разрешено все. К примеру, такие сертификаты встречаются у операторских приложений. Авторская разработка не делает ничего вредоносного, однако, если этот механизм использовать при написании вируса, последствия могут быть плачевными — ведь телефонов на базе S40 миллионы. За свои труды, в которых подробно описан процесс исследования и прилагается исходный код, Адам просит всего-ничего - 20000 евро. Он уже обратился с этим предложением к Nokia и Sun, но компании на данный момент не заинтересовались предлагаемой информацией.
Автор: Лиходед Владимир
| Твитнуть |
Наша группа ВКонтакте - присоединяйся!
Оперативная и эксклюзивная информация - в 140 знаках! Подписывайтесь на наш канал:
Читать @Mobiset
comments powered by Disqus