Bug in Java, cellulari a rischio

Molti telefonini basati su Java potrebbero essere vulnerabili a due problemi di sicurezza che possono essere sfruttati da programmi malevoli per rubare informazioni e fare tabula rasa dei dati in memoria
Molti telefonini basati su Java potrebbero essere vulnerabili a due problemi di sicurezza che possono essere sfruttati da programmi malevoli per rubare informazioni e fare tabula rasa dei dati in memoria


Roma – La complessità del software che gira sui moderni telefoni cellulari, unitamente alla loro capacità di scaricare nuovi programmi dalla rete, rende ormai questi dispositivi una nuova potenziale fonte di insicurezza per chi li utilizza. L’ultimo esempio arriva dalla scoperta, da parte di un ricercatore universitario polacco, di due gravi falle di sicurezza nella Java 2 Micro Edition (J2ME), la piattaforma di Sun alla base di molti cellulari e smartphone.

Secondo il bug hunter Adam Gowdiak, le due vulnerabilità aprono la strada alla possibilità che un cracker, inducendo un utente a scaricare un programma Java malevolo, sottragga informazioni personali o renda il telefono inutilizzabile. Gowdiak afferma di aver testato con successo queste vulnerabilità su di un cellulare Nokia 6310i, ma il compito non è stato affatto facile visto che, su stessa ammissione dell’esperto polacco, ha richiesto circa quattro mesi di studio.

Sebbene le due debolezze siano molto complesse da sfruttare, Secunia le ha classificate in questo advisory come “highly critical” e ha suggerito agli utenti di smartphone Java-based di far girare sui propri telefoni solo applicazioni Java (midlet) scaricate da fonti fidate.

Sun ha spiegato che al momento non è a conoscenza di alcun exploit e che, nell’eventualità ce ne fosse uno, basterebbe cancellare l’applicazione malevola dalla memoria del proprio cellulare. Eric Chu, director of marketing di J2ME, ha tuttavia ammesso che la situazione è seria: a suo dire, infatti, i vendor e i produttori di antivirus non sono preparati per affrontare questo nuovo tipo di minacce. Il problema più grande, secondo Chu, è che i produttori di software per cellulari non sono in contatto diretto con gli utenti finali e le patch non possono essere distribuite con la stessa velocità e lo stesso tempismo che caratterizzano il mondo del software desktop. Nonostante ciò, il dirigente di Sun ha sottolineato come la tecnologia Java disponga di meccanismi di sicurezza nativi che rendono assai arduo, per un programma locale o remoto, compiere azioni non autorizzate.

Gowdiak ha spiegato di aver utilizzato le due falle, entrambe relative ad una non corretta validazione del bytecode da parte della Kilobyte Virtual Machine (KVM), per creare dei programmi per gli smartphone DCT4 di Nokia in grado di cancellare la memoria del telefono o connettersi ad Internet e spedire messaggi di testo, contatti e foto: tutto ciò all’insaputa dell’utente.

Link copiato negli appunti

Ti potrebbe interessare

24 10 2004
Link copiato negli appunti