Den avanserte hackersamlingen Chaos Communication Congress ble holdt i Berlin i romjula, for 23. gang. Blant innleggene var en demonstrasjon fra sikkerhetsforsker Collin Mulliner av hvordan en feil i Microsofts implementering av W3C-standarden Synchronized Multimedia Integration Language (SMIL) kan utnyttes til å spre virus via MMS til apparater drevet av Pocket PC 2003 og Windows Smartphone 2003.
Sårbarheten har vært kjent i over et halvt år, men er ennå ikke fikset.
Mulliner har skrevet et angrepsbevis («proof of concept exploit») som virker på to Windows-baserte mobiler: Ipaq 6315 og i-mate PDA2k. Angrepet kjører på offerets mobil straks MMS-meldingen åpnes.
I en vurdering av angrepsbeviset skriver Jarno Niemela i bloggen til det finske IT-sikkerhetsselskapet F-Secure at det har stor betydning, uten at det utgjør den større fare for brukerne.
– Selv på apparatene som angrepsbeviset gjelder for, må angriperen gjette seg til hvilket minnespor MMS-prosesseringen skjer i, og legge opp koden etter det. Det innebærer at en ondsinnet MMS vil bare være i stand til å krasje [offerets] apparat, ikke utnytte det.
I en rapport i fjor høst advarte russiske Kaspersky Lab at « Mobil ondsinnet kode er den formen for ondsinnet kode som utvikler seg raskest, og har fortsatt et stort potensial for videre utvikling.»
Les også:
- [02.10.2006] Utrolig rask utvikling av mobilvirus
