Een beveiligingsonderzoeker claimt veertien kritieke Java-bugs in de Nokia Series 40 te hebben ontdekt waarmee aanvallers gesprekken af kunnen luisteren, gesprekken kunnen starten en andere informatie op de telefoon kunnen bekijken.

Adam Gowdiak, de onderzoeker die de bugs in de Java 2 Mobile Edition op de Nokia 40 heeft gevonden, zegt slechts twee van de bugs op donderdag bij Sun, de maker van Java, gemeld te hebben. Ook heeft hij Nokia te kennen gegeven dat enkele handsets van dat bedrijf risico lopen.

Hij heeft aan Sun echter slechts een twee pagina lang document gegeven waarin een fractie van alle details staat. Willen Java of Nokia alle details over alle lekken in handen krijgen, dan zullen zij een bedrag van 20.000 euro op moeten hoesten. Gowdiak heeft zelf al erkend dat deze methode erg controversieel is. "De hele beveiligingsindustrie is verdeeld. Sommigen zullen ervoor zijn en anderen ertegen," liet hij weten.

De lekken kunnen uitgebuit worden door een kwaadaardige Java-applicatie op de Nokia Series 40 te installeren. Zodra dat gebeurt is, kunnen de aanvallers sms-berichten verzenden, audo- en video-opnames maken en gesprekken starten en afluisteren. Tevens kan elk bestand op de telefoon bekeken worden, waaronder die op de sim-kaart.

"Dit kan de complete beveiliging van Java 2 Mobile Edition wegvagen," vertelt Gowdiak in een interview op maandag. "Het stelt aanvallers in staat om elke kwaadaardige code op elk mobiel apparaat uit te voeren."

De veertien lekken zijn van toepassing op zo’n 140 mobiele telefoons van Nokia die het Series 40-platform gebruiken. Daarbovenop komt dat de Series 40 volgens Nokia het meest gebruikte mobiele platform ter wereld is en dat het enige wat nodig is om een succesvolle aanval uit te voeren het telefoonnummer is, zo claimt Gowdiak.

Een beveiligingslek kan gebruikt worden door simpelweg meerdere kwaadaardige tekstberichten naar de telefoon te verzenden. "Door het combineren van de lekken met de Series 40-problemen, kan men malware ontwikkelen die zeer simpel opgezet kan worden. De malware is dan compleet onzichtbaar voor de gebruiker," vertelde hij.

Gowdiak testte zijn bevindingen op zeven telefoons uit de bekendste series van Nokia. Echter denkt hij dat Nokia niet het enige slachtoffer hoeft te zijn, andere fabrikanten die ook Java 2 Mobile Edition gebruiken kunnen net als Nokia risico lopen.

Verder vertelde Gowdiak dat er lekken ontdekt waren in de recentste versie van Suns Java Wireless Toolkit. De toolkit is een softwaredevelopmentkit waarmee draadloze applicaties voor J2ME gebouwd kunnen worden. Volgens de onderzoeker is elke applicatie gebouwd met die toolkit open voor aanval, inclusief degene die niet geïnstalleerd zijn op Nokia-telefoons.

Om zijn nieuwe, Poolse bedrijf op te starten, genaamd Security Explorations, verkoopt hij details over alle beveiligingslekken voor 20.000 euro. Om deze prijs te rechtvaardigen heeft hij verteld dat er zes maanden lang onderzoek in deze beveiligingslekken heeft gezeten en dat het een enorme hoeveelheid werk was. Naar zijn mening is het echter wel zo dat Nokia en Sun beide voldoende informatie hebben gekregen.

Beveiligingsteams van beide bedrijven hebben laten weten het rapport te hebben ontvangen. Nokia heeft nog niet gereageerd en Sun kon nog geen uitspraken over de lekken doen.