[新聞] 研究人員揭露J2ME漏洞　Nokia S40手機曝風險

看板java作者PsMonkey (痞子軍團團長)時間17年前 (2008/08/13 00:21)推噓5(5推 0噓 0→)

留言5則, 4人參與討論串1/1

http://www.ithome.com.tw/itadm/article.php?c=50340 雖然Gowdiak已在上周提供昇陽及Nokia漏洞報告的摘錄，但整份漏洞報告求售2萬歐元。波蘭研究員Adam Gowdiak近日揭露，昇陽專為行動裝置打造的J2ME（Java 2 Micro Edition）平台含有兩個重大漏洞，這些漏洞並影響到Nokia的Series 40 (s40)平台手機。雖然Gowdiak已在上周提供昇陽及Nokia漏洞報告的摘錄，但整份漏洞報告求售2萬歐元。 Gowdiak宣稱他進行該項研究原本是為了驗證Nokia的裝置及其Series 40平台的安全性，最後則發現J2ME的重大漏洞，完整的報告中描述了這兩個漏洞影響了在有限資源（resource constrained）裝置中所部署的Java虛擬機器、攻擊相關漏洞的途徑、針對Series 40裝置漏洞的攻擊方法等。完整的報告總計有178頁，提供逾1.4萬行的概念驗證程式。成功攻擊Nokia的作業系統可讓駭客在Series 40系列行動電話上遠端部署永久的後門程式，透過這些後門程式植入各種行動電話使用的惡意程式，包括電話資訊、檔案存取、MIDP 應用程式管理、文字及多媒體簡訊的傳送、聲音或視訊的紀錄，或是撥打電話、存取連絡簿及SIM卡等。 Gowdiak在Series 40中發現14個安全問題，要入侵特定的 Series 40行動電話僅需要取得使用者的電話號碼。 Gowdiak在報告中表示，全球手機用戶已超越10億，行動電話已成為使用者存取個人資訊、瀏覽網路、使用電子郵件，甚至用來連結網路銀行的裝置，這些類似個人電腦的使用行為讓它也成為駭客的攻擊標的。隨著手機與付款機制的緊密關係，也讓它更受駭客青睞，這意味著駭客非經授權存取手機便可能導致使用者金錢損失。 Gowdiak認為，除了Series 40作業系統外，其他以Java為基礎的行動電話作業系統也可能會受到影響。 InfoWorld引述Gowdiak指出，他知道出售報告可能備受爭議，不過他並不是在勒索，業者有權利選擇是否要購買他的安全報告或是自己調查相關漏洞。昇陽及Nokia則尚未回應相關報導。（編譯/陳曉莉） -- 侃侃長論鮮窒礙首頁：http://www.psmonkey.idv.tw 眾目睽睽無心顫 Blog：http://ps-think.blogspot.com 煢居少聊常人事殺頭容易告白難歡迎參觀 Java 版（@ptt.cc）精華區 \囧/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.218.58.96

推

slalala

08/13 00:49, , 1^F

08/13 00:49, 1^F

推

runtime

08/13 03:38, , 2^F

08/13 03:38, 2^F

推

qrtt1

08/13 10:44, , 3^F

08/13 10:44, 3^F