Luka bezpieczeństwa w telefonach Sony Ericsson

Adrian Nowak i Karsten Sohr, naukowcy z uniwersytetu w Bremie, wykryli w telefonach komórkowych firmy Sony Ericsson lukę bezpieczeństwa umożliwiającą aplikacjom odczyt i zapis plików systemowych urządzenia. Usterka pozwala na przykład na wymianę certyfikatów potwierdzających wiarygodność instalowanych programów. Tak więc napastnik będzie mógł zainstalować na urządzeniu dowolne oprogramowanie, a użytkownik wymienić logo i dzwonki zainstalowane w ramach promocji marki.

Do instalowania szkodliwego oprogramowania wystarczy zgoda użytkownika na odczyt i zapis jego danych. Zdaniem naukowców z Bremy mechanizm ten jest wykorzystywany nader często także w przypadku zaufanych aplikacji i dlatego nie wzbudza żadnych podejrzeń. Na występowanie opisanej usterki narażonych jest wiele modeli telefonów sprzedanych w latach 2005-2007, a należą do nich między innymi: K750i, K800i, K810i, T650i oraz W880i. Aparaty te nie pracuję pod kontrolą Symbiana, lecz systemu opracowanego przez producenta.

W swojej prezentacji Nowak i Sohr pokazali sposób wykorzystania wspomnianej usterki na przykładzie programu Java. W tej chwili nie wiadomo, czy luka dotyczy samego systemu operacyjnego czy też maszyny wirtualnej Java. Naukowcy nie wypowiadali się na temat szczegółów, twierdząc, że chcieliby dać firmie Sony Ericsson szansę na naprawienie błędu. Producent telefonu nie przedstawił jeszcze swojego stanowiska w tej sprawie.

Źródło: heise Security

Realizacja: SIPLEX Studio