Un hacker afirma haberse saltado la seguridad de los S40 de Nokia

kote 12 de agosto de 2008 8 comentarios

Un hacker afirma que ha saltado la seguridad de los S40 de Nokia

Un hacker desde su página web afirma haber descubierto una serie de debilidades en la seguridad de los terminales de gama media de Nokia, lo que permite instalar remotamente aplicaciones, un hecho que podría ser utilizado con no muy buenas intenciones. Este personaje pide 20.000 € a las empresas implicadas por describir los detalles de la operación.

Los problemas están centrados en la Serie 40 de Nokia, sistema operativo utilizado en la gama media de la compañía finlandesa. Como os comentaba, estas lagunas en la seguridad del sistema permite a un atacante instalar aplicaciones desde un equipo remoto saltandose los permisos que Java debe garantizar a la hora de instalar aplicaciones.

El hacker, de nombre Adam Gowdiak, no da muchos detalles en su web, pero explica que la instalación inicial se realiza utilizando un comando WAP Push, que autoriza la ejecución de programas descargados.

Además, Gowdiak ha descubierto una manera de convencer a la Máquina virtual de Java que sus aplicaciones están autorizados para acceder a todas las funciones API del teléfono.

Un hacker afirma que ha saltado la seguridad de los S40 de Nokia La mayoría de las aplicaciones Java que ejecutamos en un teléfono se limitan a acciones o resultados que no hacen uso de informaciones o del hardware del teléfono, independientemente que el usuario sea consciente de ello.

Sin embargo, una solicitud firmada por el operador de red está autorizada a hacer cosas más importantes, al igual que una aplicación firmada por el fabricante del aparato puede garantizar el acceso a memoria o cuestiones similares. El hack de Gowdiak proporciona acceso pleno a todas las solicitudes, lo que le permite hacer cualquier cosa.

Adam Gowdiak cree que el camino encontrado por él para saltar la seguridad del sistema puede ser aplicable a otros teléfonos que utilizan Java, aunque es difícil saber si realmente el problema es generalizado, ya que los fabricantes de dispositivos en general, modifican y personalizan sus aplicación por lo que algunos podrían haber cerrado el agujero de seguridad.

Pero incluso si nos limitáramos a los Nokia con sistema operativo S40 en el mercado, los números son escandalosos, cientos de millones de dispositivos podrían verse afectados, por lo que el riesgo es enorme.

A pesar de la gravedad de la reclamación de Gowdiak, Nokia parece muy preocupada al respecto, el hacker se ha puesto en contacto con Nokia y Sun, y parece que ninguna de las dos empresas está interesada en pagar 20.000 € por los detalles, cuestión que nos hace dudar de la importancia del problema.

Un hacker afirma que ha saltado la seguridad de los S40 de Nokia Independientemente de las repercusiones, si Gowdiak estuviera en lo cierto, descubrir simultáneamente dos problemas de tal magnitud en un sistema operativo habla muy bien de sus capacidades, pero sus reclamaciones exigen pruebas, que por riesgo de regalar el fruto de su trabajo no quiere suministrar.

El hecho que las compañías implicadas no se hayan mostrado preocupadas, debe inspirar tranquilidad a los usuarios de la Serie 40 de Nokia, y en el caso que sus reclamaciones fueran reales, esperar que esos defectos encontrados por Gowdiak no sean tan fáciles de explotar hasta que Nokia consiga solucionarlos.

Me gustaría terminar comentando que la cantidad de 20.000 € es una miseria para dos gigantes como Nokia o Sun, presuponiendo ciertas sus investigaciones, habría sido mucho mejor crear una empresa que trabaje como consultora de las anteriores en labores de seguridad, que pedir una cantidad tan despreciable para un problema de millones de terminales.

Vía | Mobinaute.
Sitio oficial | Adam Gowdiak.

Comentarios

1

DDNeo |

↓

Con lo cerrado que es el s40 en cuanto a programas y demás, no creo que pueda haber muchas formas de hackearlo. Si este personaje miente a nokia se puede llevar un buen escarmiento por parte de la compañia. Habría que ver hasta donde llegan las negociaciones con él…

12 ago 2008 19:35
normal
2

▄▀▄▀▄▀| Il Tifossi |

↓

Yo era el, y les daba un ultimátum, amenazando de enviar un virus mundial, y exigir un par de millones de €.

Claro que luego Nokia y Sun me enviarían un par de sicarios…

12 ago 2008 19:40
3

Switzerland

↓

El problema es que si Nokia o Sun pagan a este hombre, sería como admitir que Nokia y Sun hacen las cosas mal, y la imagen de Nokia caería mucho, aunque por otro lado si es cierto y se propagara un virus quien se haría cargo de esto? Nokia lo dudo bastante, Saludos

12 ago 2008 21:07
normal
4

Fle |

↓

Hoy en dia son pocos los sistemas operativos que no han sido hackeado . Y este no iba ha ser una escepcion por supuesto.

12 ago 2008 22:23
normal
5

dantorrecilla. http://carandbikesracing.blogspot.com/ |

↓

Si el tio de verdad lo hubiera logrado, no pediria 20.000$…

12 ago 2008 23:26
normal
6

stra |

↓

No creo que vayan por ahí los tiros. Esta persona ha descubierto un fallo de seguridad y quiere ser recompensada. No hacerse millonaria con esto.

Ya paso algo parecido con "LaCaixa" con un hacker que vío un agujero en el sistema de seguridad de la web. Aviso a la entidad y ésta le recompenso con dinero y trabajo dentro del grupo de informática y seguridad. Podrian tomar ejemplo!

13 ago 2008 10:23
normal
7

▄▀▄▀▄▀| Il Tifossi |

↓

Por cierto, queréis una manera de que no os borren los comentarios off-topic? Mencionad a Chuck Norris. A ver quien se atreve a borrarlo.

13 ago 2008 19:55
8

xaviwan |

↓

20.000€ hoy en día? cuántos años tiene el hacker, 6?

la verdad que me recuerda al Dr. Maligno de Austin Powers pidiendo 1.000.000$ por no destruir el mundo…

14 ago 2008 17:37
normal