Newsticker
- Vodafone CallYa: Neues Roaming-Angebot für Reisen in Länder außerhalb der EU
- Tchibo Mobil startet neue Flex-Tarife
- Vodafone: Internet für 198.000 Kabel-Haushalte verbessert
- congstar Prepaid Osteraktion: Mehr Datenvolumen zum gleichen Preis
- FRITZ!OS 8.25 Update für FRITZ!Box 6660 Cable und FRITZ!Box 6591 Cable
- OPPO Find N6: Neues Foldable mit Zero-Feel-Crease-Technologie vorgestellt
- waipu.tv und HBO Max im Aktionspaket für 6,99 Euro
- O2 Telefónica wird exklusiver Mobilfunk- und Festnetzpartner der ADAC Vorteilswelt
- Bundesnetzagentur: Neue Anwendung zur Überprüfung der Mindestversorgung
- Samsung schließt Partnerschaft mit der Deutschen Bank
Sicherheitslücke bedroht alle Java-fähige Handys
Angreifer erhalten Kontrolle über das Gerät
13. Oktober 2004
Wie tecChannel.de aktuell berichtet, gelang es dem Computerspezialisten Adam Gowdiak ohne direktes Insiderwissen, den Lücken im Java-System für mobile Geräte auf die Spur zu kommen. Auf einer Konferenz demonstrierte er live, dass die Sicherheitsfunktionen von Java-Handys zu überwinden sind.
Das von Gowdiak skizzierte Szenario nutzt eine Kombination diverser Schwächen und Strategien, um ein so genanntes MIDlet (Java-Programm) zu erstellen. Dies durchbricht die Schutzmechanismen unerkannt vom ahnungslosen Anwender und erhält Zugang zu allen Systemressourcen des Handys.
Der Anwender muss das MIDlet auf dem Gerät installieren und starten. Beispielsweise könnte sich in einem kostenlos zum Download angebotenen Spiel oder einer beliebigen anderen Anwendung bösartiger Code verbergen. Startet der Anwender das das Programm und damit den Schadcode, dann liegen durch die auf dem Gerät zur Verfügung stehenden Kommunikations-Features wie SMS, direkte Socket-Verbindungen oder E-Mail sehr persönliche Daten auf dem Präsentierteller. Der Angreifer könnte so auch ohne Wissen des Handybesitzers teure Mobilfunkdienste wie Premium SMS aktivieren, bei denen er der finanziell Begünstigte ist. Dieses Szenario ist vergleichbar mit Dialer-Software im Computer-Bereich.
Die Schwachstelle betrifft grundsätzlich jedes Handy, das die Java 2 Micro Edition (J2ME) verwendet. Laut einer Studie des finnischen Herstellers Nokia wurden bis Anfang 2004 weltweit schon 250 Millionen Java-fähige Geräte verkauft. Nokia gibt weiter an, dass es derzeit über 300 Modelle von 32 verschiedenen Herstellern gibt.
In seinem Vortrag ließ Gowdiak zwar wichtige Details aus, um den Handy- und Software-Herstellern genug Zeit zu geben, aktiv auf die Gefährdung ihrer Produkte einzugehen, bevor die ersten Hacker das gesamte Geheimnis lüften und missbrauchen. Allerdings ist das Bedrohungspotenzial groß, so lange die aufgedeckten Lücken nicht geschlossen werden und weit verbreitet sind. Die Handyhersteller und die Firma Sun als Java-Initiator halten sich mit Informationen noch bedeckt.
Das von Gowdiak skizzierte Szenario nutzt eine Kombination diverser Schwächen und Strategien, um ein so genanntes MIDlet (Java-Programm) zu erstellen. Dies durchbricht die Schutzmechanismen unerkannt vom ahnungslosen Anwender und erhält Zugang zu allen Systemressourcen des Handys.
Der Anwender muss das MIDlet auf dem Gerät installieren und starten. Beispielsweise könnte sich in einem kostenlos zum Download angebotenen Spiel oder einer beliebigen anderen Anwendung bösartiger Code verbergen. Startet der Anwender das das Programm und damit den Schadcode, dann liegen durch die auf dem Gerät zur Verfügung stehenden Kommunikations-Features wie SMS, direkte Socket-Verbindungen oder E-Mail sehr persönliche Daten auf dem Präsentierteller. Der Angreifer könnte so auch ohne Wissen des Handybesitzers teure Mobilfunkdienste wie Premium SMS aktivieren, bei denen er der finanziell Begünstigte ist. Dieses Szenario ist vergleichbar mit Dialer-Software im Computer-Bereich.
Die Schwachstelle betrifft grundsätzlich jedes Handy, das die Java 2 Micro Edition (J2ME) verwendet. Laut einer Studie des finnischen Herstellers Nokia wurden bis Anfang 2004 weltweit schon 250 Millionen Java-fähige Geräte verkauft. Nokia gibt weiter an, dass es derzeit über 300 Modelle von 32 verschiedenen Herstellern gibt.
In seinem Vortrag ließ Gowdiak zwar wichtige Details aus, um den Handy- und Software-Herstellern genug Zeit zu geben, aktiv auf die Gefährdung ihrer Produkte einzugehen, bevor die ersten Hacker das gesamte Geheimnis lüften und missbrauchen. Allerdings ist das Bedrohungspotenzial groß, so lange die aufgedeckten Lücken nicht geschlossen werden und weit verbreitet sind. Die Handyhersteller und die Firma Sun als Java-Initiator halten sich mit Informationen noch bedeckt.
Original-URL des Artikels: https://www.tarif4you.de/news/n11882.html