A partir de là, il ne serait pas difficile de créer des programmes malveillants s'installant de façon discrète ( par push WAP ) sur les téléphones portables sous interface Series 40. Gowdiak indique avoir prévenu Nokia mais demande 20.000 €, par l'intermédiaire de sa société Security Explorations, pour fournir les détails des failles découvertes ainsi que des proof of concept, c'est à dire des programmes expérimentaux en démontrant la validité.
Vraie faille ou fausse bonne affaire ?
Difficile donc de connaître l'ampleur réelle du danger de ces failles sans s'acquitter du montant. Selon Gowdiak, elles pourraient permettre à une personne malintentionnée de déclencher à distance des appels ou d'envoyer des SMS depuis le mobile vers des numéros surfacturés, d'enregistrer de l'audio ou de la vidéo à l'insu de son propriétaire ou encore de récupérer ses contacts.
Gowdiak indique avoir découvert 14 problèmes de sécurité au niveau de l'interface Series 40 de Nokia. Avec sa méthode, il suffirait de connaître le numéro de téléphone d'un mobile Series 40 pour s'y attaquer de façon peu visible pour l'utilisateur, ce qui constituerait un changement par rapport auxsocial engineering : la promesse d'un logiciel piraté, un jeu gratuit, etc ) pour être installés.
Il reste que la méthode utilisée pour monnayer ses services est controversée. Gowdiak se défend en expliquant que ses découvertes représentent six mois de recherche et souligne que cela reviendrait moins cher d'y accéder directement à ce tarif que d'employer un groupe d'ingénieurs pour les dépister et les corriger.
Nokia et Sun Microsystems ont été informés de leur existence mais n'ont pas encore pris officiellement position sur la question. Gowdiak promet de dévoiler plus d'information dès que l'une ou l'autre société aura trouvé un moyen de corriger les failles.
