Sicherheitslücken in Handy-Java J2ME

[glums]

Hallo, schaut mal was ich heute bei PC Welt gelesen habe:

Sun bestätigt schwere Sicherheitslücken in Handy-Java J2ME


Die in Java-fähigen Handys enthaltenen kritischen Sicherheitslücken in der J2ME (Java 2 Micro Edition 9) wurden von Sun Microsystems jetzt bestätigt. Für Lizenznehmer steht bereits ein Fix bereit, berichtet unsere Schwesterpublikation Tecchannel .




Der Hacker Adam Gowdiak entdeckte die Schwachstelle - durch speziell erstellte Programme lässt sich die Sandbox-Umgebung aushebeln. Ist diese Sicherheitseinrichtung gefallen, hat der Angreifer einen kompletten Systemzugriff auf das Handy. So ist es beispielsweise möglich, teure Premium-Dienste anzufordern oder vom Besitzer unbemerkte Internet-Verbindungen aufzubauen.



Gowdiak hatte Sun bereits vorab über die Schwachstelle informiert. Russ Castronovo, PR-Sprecher bei Sun Microsystems USA , bestätigte nun gegenüber unseren Kollegen vom Tecchannel, dass sich die Lücke reproduzieren lässt. An die Lizenznehmer seien zudem bereits Fixes ausgeliefert worden.



Anja Klein, Pressesprecherin bei Siemens Mobile , und Myriam Hoffmann, Pressesprecherin bei Sony Deutschland , können allerdings noch keine genauen Angaben machen, wann ein Update für die gefährdeten Geräte erscheinen wird. Man sei auf Sun angewiesen, zudem müssen zuerst interne Tests durchgeführt werden.



Betroffen von der Sicherheitslücke sind sämtliche Java-fähigen Handys. Dies sind laut einer Nokia-Studie mindestens 250 Millionen weltweit

 

[piero]

yeah, also in nächster zeit erstmal nicht mehr herumtesten ..

kann jemand angaben dazu machen was auf einem siemens telefon alles geschehen könnte wenn die sandbox ausgehebelt ist ?

thema gprs: fragt das handy dann auch nicht mehr nach ?
thema rufnummer anwählen: bemerkt man das ?

 

[Nochnoi Dozor]

Originally posted by piero@18.10.2004, 17:37
yeah, also in nächster zeit erstmal nicht mehr herumtesten ..

kann jemand angaben dazu machen was auf einem siemens telefon alles geschehen könnte wenn die sandbox ausgehebelt ist ?

thema gprs: fragt das handy dann auch nicht mehr nach ?
thema rufnummer anwählen: bemerkt man das ?

Mach einfach BT aus oder auf "für andere net sichtbar" und gut is!

regards
Tom

 

[piero]

was hat das denn jetzt mit dem blauzahn zu tun ?

 

[Nochnoi Dozor]

Originally posted by Dominik Hanov@18.10.2004, 18:02
Das hat absolut nichts mit Bt zu tun.

Das Sicherheitsriskio lässt sich aber eingrentzen in dem man nur Software aus sicheren Quellen auf das Gerät spielt. (Finger weg von geklauten Progs. Ihr merkt erst nach dem installieren wases ist)

Die Frage ist ob eine Anleitung/Code die Lücke zu nutzen überhaupt schon im Umlauf ist?

Das ich mir keine dubiosen Progs auf mein Handy lade ist eh klar!
Ich meinte läßt man BT aus, dann kann auch von außen keiner zugreifen und evtl . via Java Schaden anrichten.

regards
Tom

 

[Acidmrp]

so ganz nebenbei:

ich verwende schon seit knapp einem Jahr eine Sicherheitslücke beim
S55 duch die ich beliebigen Assemblercode ausführen kann.
Dadurch hab ich mir die "SMS wirklich senden?" Frage ausgehebelt.
Wofür das gut ist?
Mein Handy schreibt mir nun ganz ohne Nachfrage eine SMS sobald
eine fremde SIM Karte eigelegt wird. So bin ich immer auf dem laufenden,
wer mein Handy "gefunden" hat.

Bei x65 geht das im übrigen auch schon eine ganze weile.

 

[Siesam]

Originally posted by Acidmrp@18.10.2004, 18:20
so ganz nebenbei:

ich verwende schon seit knapp einem Jahr eine Sicherheitslücke beim
S55 duch die ich beliebigen Assemblercode ausführen kann.
Dadurch hab ich mir die "SMS wirklich senden?" Frage ausgehebelt.
Wofür das gut ist?
Mein Handy schreibt mir nun ganz ohne Nachfrage eine SMS sobald
eine fremde SIM Karte eigelegt wird. So bin ich immer auf dem laufenden,
wer mein Handy "gefunden" hat.

Bei x65 geht das im übrigen auch schon eine ganze weile.

Kannst Du uns Dein Programm hier zur Verfügung stellen?
Ich denke, das würde viele gerne haben... :up:

Greetinx, Sascha

 

[piero]

oh ja, das würde mich auch interessieren :up:

 

[RuffRyder]

Originally posted by Thomas Skrebsky@18.10.2004, 17:15

Ich meinte läßt man BT aus, dann kann auch von außen keiner zugreifen und evtl . via Java Schaden anrichten.

regards
Tom

Niemand kann von aussen per BT auf dein Handy zugreifen und mit Java Schaden anrichten.

Java hat absolut nichts, wirklich garnichts mit BT zu tun.

Beim S65 kann man dank MIDP 2.0 die BT Funktionalität aus MIDlets heraus nutzen, aber das ist eine Aktion die von DEINEM Phone ausgeht.

 

[Nochnoi Dozor]

Originally posted by RuffRyder@18.10.2004, 18:59

Ich meinte läßt man BT aus, dann kann auch von außen keiner zugreifen und evtl . via Java Schaden anrichten.

regards
Tom

Niemand kann von aussen per BT auf dein Handy zugreifen und mit Java Schaden anrichten.

Java hat absolut nichts, wirklich garnichts mit BT zu tun.

Beim S65 kann man dank MIDP 2.0 die BT Funktionalität aus MIDlets heraus nutzen, aber das ist eine Aktion die von DEINEM Phone ausgeht.

O.k.,o.k. Dann eben net!
Bin schon still! :crying:

regards
Tom

 

[Acidmrp]

wenn mein Programm in die Board Regeln passen würde hätte ich hier
schon lange darüber berichtet. Ich wollte nur mal was sagen weil jetzt
auf einmal alle so gross über Java Bugs berichten.

Die wo meine Programme wollen wissen ja eh wo sie sie finden.