一位波兰的研究员发现Java软件的手机版本的两处漏洞,恶意程序可能通过这些漏洞获取私人信息或导致手机无法使用。
发现漏洞的是Poznan超级计算和网路中心的29岁安全研究员Adam Gowdiak,他说,这些漏洞很难被利用,因为恶意程序只能在特定型号的手机上起作用。在星期五发送给BugTraq (著名黑客电子邮件组,现被赛门铁克收购)的邮件中,他指出了利用漏洞攻击诺基亚6310i 手机的方法,但是要花四个月的时间才能成功。
Gowdiak 在一次电子邮件采访中说,只有当用户下载并运行一个叫midlet的恶意Java程序之后,才有可能受到攻击。他表示不知道自动攻击的方法。
他在八月份向Sun 公司报告了这些漏洞,该公司说他们在两个星期内向Java许可证持有者发送了打了补丁的版本,叫做Java bytecode verifier。
Sun 公司负责Java 2 Micro Edition(J2ME)软件的市场经理Eric Chu说:" 我们还没有发现有人企图利用这些漏洞,即使有的话,用户删除他们从不可靠的来源下载的应用程序就可以解决。"
但是在十月份马来西亚举行的HITB安全大会(Hack in the Box )上,Gowdiak 说不能对此掉以轻心。他说:" 软件供应商和反病毒厂商都没有对此加以防范,但是在接下来的六个月内,人们可能就会找到移动设备的远程漏洞。"Sun没有公布这些漏洞,而是让手机制造商通知他们的用户。Chu 说:" 我们与终端用户没有联系。"
Java可以让视频游戏之类的程序运行在许多不同的手机上,它已经被制造商广泛的使用。Sun 估计到2004年底,具有Java功能的手机销售量将超过5.7 亿部,每三部手机就有一部具备Java功能。数以百计的手机业务提供商依靠J2ME经营业务,包括下载铃声、游戏等。
拥有复杂功能的手机正变得越来越重要。据Meta Group估计,到2007年将有大约三分之二的公司和机构部署移动数据服务。最普遍的应用将是移动电子邮件,三年内将有一半的机构部署无线电子邮件系统,四年后这个比例将达到百分之七十五。
这次公布漏洞正好是在CTIA Wireless I.T. & Entertainment 2004 的前夕,这是一次手机贸易展览会,届时会展示许多由Java支持的新业务。
Java一向很少出现漏洞,尤其是相比较Windows 系统而言。Java的一个优势是内置的安全特性,因此本地的或远程的程序都很难进行未经授权的操作。
Gowdiak 利用漏洞编写了一个针对诺基亚手机的程序,它可以在用户不知道的情况下,发送文本信息或照片,擦除手机的存储器,连接到因特网,盗取电话记录等数据。
在HITB安全大会上,他说这些漏洞有可能被用来安装间谍软件,秘密地记录文本信息,或被用来安装其他的程序。
高通公司也有一种类似的技术,但是不如JAVA流行,它也可以把软件下载到手机上。这种技术叫做BREW(无线二进制运行时环境),有数十家运营商采用了这种技术,但是目前还没有关于它的漏洞报告。
微软在移动设备方面也存在问题,它的智能手机操作系统Windows CE和Pocket PC 软件中都已经发现了漏洞。
