Java-Lücke in Handys ab April öffentlich

Der Entdecker der hochkritischen Lücke in der J2ME, Adam Gowdiak, plant ein vollständiges Release seiner Tools und des nötigen Codes bis April 2005. Handyhersteller reagieren bislang verhalten auf die problematische Ankündigung.

Im Oktober 2004 berichtete tecCHANNEL ausführlich über die hochkritische Sicherheitslücke der Java 2 Micro Edition (J2ME), die in den meisten aktuellen Handys enthalten ist. Der Sicherheitsspezialist Adam Gowdiak vom polnischen Poznan Supercomputing and Networking Center hatte damit einen Weg gefunden, sämtliche Sicherheitsbeschränkungen der Java-Sandbox zu umgehen. Mit seinen Tools erlangte er die komplette Kontrolle über das angegriffene Mobiltelefon. Dadurch ist es nicht nur möglich, persönliche Daten wie das Telefonbuch auszulesen, vielmehr lassen sich ebenso teure Premium-Dienste ohne Wissen des Handybesitzers nutzen.

Gowdiak hat den nötigen Code und seine Tools bislang zurückgehalten, damit die Hersteller die Lücken stopfen können. Im April will er die Dokumentation der Lücke nach eigenen Angaben öffentlich zugänglich machen. Zudem verfügt er über diverse Tools und Exploits, also lauffähige Beispiele. Ein Interview mit Adam Gowdiak finden Sie hier.

Von Herstellerseite kommen bislang nur sehr zögerliche Statements. Das Problem sei bekannt und werde untersucht, so der Grundtenor der Pressesprecher. Beim Branchenverband Bitkom sind derzeit keine konkreten Update-Pläne bekannt. Der Hersteller der J2ME, Sun, hat die Lücke bereits bestätigt. Dort heißt es, ein Update befinde sich bei den Handyherstellern. (mja)

tecCHANNEL Buch-Shop

Literatur zum Thema Programmiersprachen

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50% billiger als Buch)

Downloads