Sun bestätigt schwere Sicherheitslücken in Handy-Java J2ME
Die in Java-fähigen Handys enthaltenen kritischen Sicherheitslücken in der J2ME wurden von Sun Microsystems bestätigt. Für Lizenznehmer steht bereits ein Fix bereit.
Wie tecCHANNEL.de im Report Hacker knackt Java für Handys berichtete, ist es dem Hacker Adam Gowdiak gelungen, eine Schwachstelle in der Java 2 Micro Edition zu finden. Durch speziell erstellte Programme lässt sich die Sandbox-Umgebung aushebeln. Ist diese Sicherheitseinrichtung gefallen, hat der Angreifer einen kompletten Systemzugriff auf das Handy. So ist es beispielsweise möglich, teuer Premium-Dienste anzufordern oder vom Besitzer unbemerkte Internet-Verbindungen aufzubauen.
Angriffsweg: Über die Type-Confusion-Attacke lässt sich die Java-Laufzeitumgebung direkt angreifen. Gelingt diese, lassen sich Speicherbereiche inoffiziell ansprechen. (Quelle: Adam Gowdiak)
Gowdiak hatte Sun bereits vorab über die Schwachstelle informiert. Russ Castronovo, PR-Sprecher bei Sun Microsystems USA, bestätigte nun gegenüber tecCHANNEL, dass sich die Lücke reproduzieren lässt. An die Lizenznehmer seien zudem bereits Fixes ausgeliefert.
Emulator: Die Emualtionsanwendung steht mittels spezieller Stub-Routinen mit dem Handy in Verbindung. Speicherbereiche lassen sich so gezielt übertragen und bei Bedarf manipulieren. (Quelle: Adam Gowdiak)
Anja Klein, Pressesprecherin bei Siemens Mobile, und Myriam Hoffmann, Pressesprecherin bei Sony Deutschland, können allerdings noch keine genauen Angaben machen, wann ein Update für die gefährdeten Geräte erscheinen wird. Man sei auf Sun angewiesen, zudem müssen zuerst interne Tests durchgeführt werden.
Betroffen von der Sicherheitslücke sind sämtliche Java-fähigen Handys. Dies sind laut einer Nokia-Studie mindestens 250 Millionen weltweit. (mja)
