Krever løsepenger for å frigi Java-hull

Polsk forsker hevder han har funnet sikkerhetshull, men nekter å prate hvis ikke Sun eller Nokia punger ut.

18. aug. 2008 - 15:00

Adam Gowdiak, grunnlegger og leder av det polske sikkerhetsselskapet Security Explorations, skriver på sin nettside at han har avdekket sikkerhetshull i mobil Java (J2ME).

Polakken skal ha laget konseptkode på over 14 000 linjer, som angriper svakheter «som påvirker implementasjonen av mobil Java (J2ME) i produkter fra Sun og Nokia».

Funnene avdekkes i en 178-siders rapport, som han bare vil frigi hvis Nokia eller Sun betaler 20 000 euro, eller om lag 160 000 norske kroner.

Pengekravet grunngir forskeren med at han ønsker å samle inn penger. Midlene skal gå til et ultramoderne forskningssenter for sikkerhet i Polen.

- Det er bedre enn å trygle andre selskaper om investeringskapital, skriver han på nettsidene sine.

Det endelige målet med kapitalinnsamlingen skal være en million euro.

Gowdiak skal også tidligere ha avdekket Java-hull, og er dessuten tidligere ansatt i Sun, ifølge biografien på selskapets nettsider.

Rapporten inneholder tilsynelatende informasjon om hvordan man kan hacke seg inn på en mobil fra Nokias 40-serie. Gowdiak hevder at ondsinnede kan utnytte hull til å sette i gang samtaler eller koble telefonen til internett, eller for å lese eller skrive filer.

Security Explorations mener å ha bevist at Suns implementasjon av mobil Java-teknologi, som brukes i siste versjon av Java Wireless Toolkit, er sårbar for hullene som de har funnet. - Mobilnummeret er alt en angriper trenger for å få uautorisert tilgang til et utvalg enheter fra Nokia, uttaler Gowdiak.

Den noe uvanlige metoden for å sikre driftsstøtte begrunner selskapet med ønsket om «frihet med hensyn til forskningen vi utfører». På selskapets nettsider skriver de at de ikke frykter anmeldelser:

«- Dersom en leverandør foretrekker å bruke pengene på advokater i stedet for å forbedre sikkerheten på produktene sine, så er det ingenting vi kan gjøre med saken.»

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.