De graves failles Java sur les terminaux Nokia Series 40 ?

Le par  |  1 commentaire(s)
Logo Nokia

Adam Gowdiak, spécialiste en sécurité, annonce avoir découvert deux failles critiques dans la technologie Java de Sun Microsystems qui permettraient de prendre le contrôle de terminaux mobiles Nokia utilisant l'interface Series 40.

Logo NokiaLes téléphones portable Nokia utilisant l'interface Series 40 se vendent par centaines de millions chaque année et une faille dans leur architecture peut potentiellement avoir de graves conséquences. Un expert en sécurité polonais, Adam Gowdiak, prétend avoir découvert deux failles au niveau de la machine virtuelle Java pour mobile développée par Sun Microsystems qui permettraient de contourner les protections du système d'exploitation et avoir accès à l'ensemble des fonctions du terminal.

A partir de là, il ne serait pas difficile de créer des programmes malveillants s'installant de façon discrète  ( par push WAP ) sur les téléphones portables sous interface Series 40. Gowdiak indique avoir prévenu Nokia mais demande 20.000 €, par l'intermédiaire de sa société Security Explorations, pour fournir les détails des failles découvertes ainsi que des proof of concept, c'est à dire des programmes expérimentaux en démontrant la validité.


Vraie faille ou fausse bonne affaire ?

Nokia 7310 SupernovaDifficile donc de connaître l'ampleur réelle du danger de ces failles sans s'acquitter du montant. Selon Gowdiak, elles pourraient permettre à une personne malintentionnée de déclencher à distance des appels ou d'envoyer des SMS depuis le mobile vers des numéros surfacturés, d'enregistrer de l'audio ou de la vidéo à l'insu de son propriétaire ou encore de récupérer ses contacts.

Gowdiak indique avoir découvert 14 problèmes de sécurité au niveau de l'interface Series 40 de Nokia. Avec sa méthode, il suffirait de connaître le numéro de téléphone d'un mobile Series 40 pour s'y attaquer de façon peu visible pour l'utilisateur, ce qui constituerait un changement par rapport auxsocial engineering : la promesse d'un logiciel piraté, un jeu gratuit, etc ) pour être installés.

Il reste que la méthode utilisée pour monnayer ses services est controversée. Gowdiak se défend en expliquant que ses découvertes représentent six mois de recherche et souligne que cela reviendrait moins cher d'y accéder directement à ce tarif que d'employer un groupe d'ingénieurs pour les dépister et les corriger.

Nokia et Sun Microsystems ont été informés de leur existence mais n'ont pas encore pris officiellement position sur la question. Gowdiak promet de dévoiler plus d'information dès que l'une ou l'autre société aura trouvé un moyen de corriger les failles.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #296721
Bah tiens, 6 mois de recherche, peut être, mais il avait en tête juste l'envi de se faire du fric... et non d'aider!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]