Hacker knackt Java für Handys

Sun hat gegenüber tecCHANNEL die schwere Sicherheitslücke in Java für mobile Geräte bestätigt. Angreifer können so die volle Kontrolle über Handys erhalten. Mindestens 250 Millionen Geräte sind gefährdet.

Wie bereits vorab auf www.tecChannel.de berichtet, stellte ein dezidierter Vortrag während der am 8.10.2004 zu Ende gegangenen "Hack in the Box" Hacker-Konferenz im malaysischen Kuala Lumpur Methoden vor, um die bis dato als sicher eingestufte J2ME-Plattform anzugreifen. Sun hat die Sicherheitslücke gegenüber tecCHANNEL.de bestätigt. In einem Interview spricht Adam Gowdiak über die Intention seines Hacks sowie über Gefahren und Schutzmöglichkeiten für Verbraucher.

Angriffsziel: Betroffen ist grundsätzlich jedes Handy, das die J2ME verwendet. Anhand eines Nokia 6310i demonstrierte Gowdiak die Schwachstellen der J2ME-Software.(Quelle:Nokia)
Angriffsziel: Betroffen ist grundsätzlich jedes Handy, das die J2ME verwendet. Anhand eines Nokia 6310i demonstrierte Gowdiak die Schwachstellen der J2ME-Software.(Quelle:Nokia)

Ohne direktes Insiderwissen gelang es Adam Gowdiak mittels Reverse Engineering und eigenen Tools, den Lücken auf die Spur zu kommen. Am Beispiel des Nokia 6310i hat er mögliche Exploits konkret nachgewiesen.

Gowdiak vom polnischen "Poznan Supercomputing and Networking Center" hat bereits mehrfach in seiner Rolle als "ethischer" Hacker auf Sicherheitslücken insbesondere im Unix-Umfeld aufmerksam gemacht. Es dürfte nicht überraschen, wenn Firmen im J2ME-Umfeld auch diesmal vorab informiert wurden. In seinem Vortrag hat er wichtige Details weggelassen, um den Anbietern genug Zeit zu geben, aktiv auf die Gefährdung ihrer Produkte einzugehen, bevor die ersten Hacker das gesamte Geheimnis lüften und für eigene Zwecke missbrauchen.

Tatsache ist, dass das Bedrohungspotenzial groß bleibt, so lange die aufgedeckten Lücken nicht geschlossen werden und weit verbreitet sind. Laut einer Studie des finnischen Herstellers Nokia wurden bis Anfang 2004 weltweit bereits 250 Millionen Java-fähige Geräte verkauft.