Java-Sicherheitslücke: Interview mit Entdecker Adam Gowdiak

Adam Gowdiak hat die Schwachstellen in Java für Handys entdeckt. Im tecCHANNEL-Interview enthüllt er seine Intention für die Aufdeckung der Lücken. Zudem stellt er weitere Gefahren und Schutzmöglichkeiten für Anwender vor.

Vor wenigen Tagen hat Adam Gowdiak auf der Sicherheitskonferenz "Hack in the box" erstmals Lücken in Java für mobile Geräte aufgezeigt. tecCHANNEL hat bereits im Report Hacker knackt Java für Handys auf die kritischen Sicherheitslücken in der Java 2 Micro Edition hingewiesen. Russel Castronovo, zuständig für Global Communications bei Sun Microsystems USA, hat dies inzwischen gegenüber tecCHANNEL bestätigt. Jetzt äußert sich der Entdecker zu den Schwachstellen und möglichen weiteren Gefahren.

Adam Gowdiak hat erstmals Sicherheitslücken in der Java 2 Micro Edition aufgezeigt. Der 29jährige arbeitet in einem Sicherheitsteam des Poznan Supercomputing and Networking Center. (Quelle:Adam Gowdiak)
Adam Gowdiak hat erstmals Sicherheitslücken in der Java 2 Micro Edition aufgezeigt. Der 29jährige arbeitet in einem Sicherheitsteam des Poznan Supercomputing and Networking Center. (Quelle:Adam Gowdiak)

tecCHANNEL: Adam, mit welcher Intention haben Sie sich daran gemacht, der Sicherheit von J2ME einmal genauer auf den Grund zu gehen?

Gowdiak: Nun, bislang wurden in Bezug auf die Java-Technologie für mobile Endgeräte, die Java 2 Micro Edition, keinerlei Sicherheitsprobleme gemeldet. Eine solche Situation ist in der Realität ziemlich unwahrscheinlich. Die Vergangenheit hat uns immer wieder gezeigt, dass die "Java Virtual Machine"-Implementationen diverser Hersteller, wie Microsoft oder Sun Microsystems, einige Probleme hatten. Vielleicht hat man den Aspekt der J2ME-Sicherheit einfach als gegeben angenommen, ohne es genauer zu hinterfragen.

Meine Motivation war, dass man einfach davon ausging, dass die Technologie nicht aus den Angeln gehoben werden kann, und dies hat, kombiniert mit meiner herausfordernden Natur und Intuition, eben dazu geführt, die J2ME-Technologie genauer unter die Lupe zu nehmen.

tecCHANNEL: Wie lange hat es gedauert, bis Sie den ersten Ansatz eines Angriffs gefunden hatten?

Gowdiak: Es dauerte zwei Monate, um in J2ME einzubrechen und weitere vier Monate, um meine Ergebnisse durch das Programmieren von böswilligen Java-Applikationen zu beweisen.