您当前的位置: 首页 网吧分会专栏 网吧动态

手机版Java软件曝出漏洞 可被随意查短信、抹记录

发布时间: 2009-09-23 丨 阅读次数: 11842



  波兰一名研究人员发现Sun公司手机版Java软件存在两个漏洞,在特定情况下恶意程序可以借助漏洞阅读敏感信息甚至使手机不可用。

  Poznan超级计算机&网络中心的安全研究员,29岁的Adam Gowdiak发现了以上漏洞,他表示,漏洞不会轻易被利用,因为首先恶意程序必须要做成手机版本。周五他在BugTraq网站的公告中指出,他自己花了4个月时间才找到了借助漏洞攻击诺基亚6310i手机的途径。

  Gowdiak说,手机用户在中招之前必须要下载并运行一个名为“midlet”的Java程序。早在8月份Gowdiak就向Sun公司通报了漏洞情况,Sun表示得到情况两周内向Java 许可商提供了“Java代码验证器”(Java bytecode verifier)进行漏洞修补。

  Sun公司J2ME软件市场部经理Eric Chu说,“我们还没有发现该漏洞被利用的案例,即便发生的话,用户只需把不明来源下载的软件删除即可。”然而在马来西亚召开的黑客大会(the Hack in the Box)上,Gowdiak却表示要高度重视该漏洞。他说,“销售商和防病毒机构对此毫无准备”。

  Sun没有公布该漏洞的信息,但是却选择了让手机制造商通知用户。Chu表示,“我们与终端用户之间没有任何商业关系”。

  手机中使用Java软件的情况已相当普遍,Sun公司估计到2004年底使用Java软件的手机将达5.7亿部,也就是全球平均每3部手机中就有1部使用Java软件。成百上千个移动服务商都使用Sun公司的J2ME软件销售铃声、游戏及其它下载业务。

  高级移动设备将变得越来越普遍,据市场研究机构Meta集团提供的数据,到2007年将有大约三分之二的服务商提供移动数据业务,手机邮件将居于应用首位。3年内将有一半的机构建立无线电子邮件系统,而4年内将达到四分之三。

  与Windows相比,Java软件的漏洞相对要少得多,之所以如此是因为Java软件内嵌的安全功能使得未经授权的本地或远程程序很难运行。Gowdiak专为诺基亚手机编写的程序可以利用漏洞发送短信和照片、抹掉存储记录、甚至接入互联网或窃取手机中的记录,而用户对这一切都是不知情的。Gowdiak在黑客大会上表示,该漏洞可能被利用来安装一个秘密复制手机短信的软件或其它应用软件。

  高通公司推出了自己的手机下载软件技术,简称为“BREW”,目前运营商们还没有发现漏洞产生。微软开发的用于智能手机的Windows CE操作系统及用于手持设备袖珍PC软件都已发现存在安全漏洞。