ngocdiep
26-10-2004, 09:11
Lỗ thủng Java trên điện thoại di động
Một chuyên gia Ba Lan vừa phát hiện 2 lỗi trong phần mềm của Sun Microsystems dùng cho thiết bị cầm tay. Khiếm khuyết có thể cho phép các chương trình nguy hiểm đọc trộm thông tin hoặc khiến điện thoại trở nên vô dụng.
Theo người phát hiện lỗi, Adam Gowdiak, chuyên viên bảo mật của Trung tâm mạng và siêu máy tính Poznan, những lỗ hổng này thực ra cũng khó khai thác vì các chương trình tấn công phải được thiết kế phù hợp với từng chiếc điện thoại khác nhau. Trên mạng tin an ninh Bugtraq, Gowdiak đã mô tả cách thức khai thác khiếm khuyết trên một chiếc Nokia 6310i song cho biết để làm được phải mất ít nhất 4 tháng.
Ngoài ra, trước khi những lỗ hổng nói trên có thể bị lợi dụng, người dùng điện thoại còn phải download và chạy một chương trình Java nguy hiểm, gọi là midlet. Gowdiak chưa phát hiện thấy cách nào có thể thực hiện tấn công tự động. Chuyên gia này đã thông báo cho Sun về lỗi nói trên từ tháng 8 và hai tuần sau đó công ty đã gửi cho các khách hàng mua bản quyền sản phẩm Java một phiên bản nâng cấp có tên “công cụ xác minh mã byte Java”.
Khi thử nghiệm lợi dụng lỗi, Gowdiak đã tạo được một số chương trình trên chiếc điện thoại Nokia để từ đó có thể gửi text hoặc ảnh, xóa bộ nhớ điện thoại, kết nối Internet và ăn cắp dữ liệu lưu trong sổ phone book - tất cả đều được thực hiện mà người dùng không biết.
“Tới nay, chúng tôi chưa thấy có bất cứ âm mưa nào khai thác lỗ hổng này, song nếu có, người sử dụng đơn giản chỉ cần xóa ngay các ứng dụng mà họ tải từ những nguồn không tin cậy”, Eric Chu, Giám đốc marketing phần mềm Java 2 Micro Edition (J2ME) của Sun, tuyên bố.
Phần mềm Java, cho phép các chương trình như video game chạy trên nhiều loại điện thoại khác nhau, đã trở nên rất phổ biến. Sun ước tính có khoảng trên 570 triệu thiết bị cầm tay hỗ trợ Java sẽ được bán ra tính đến hết năm nay. 1/3 tống số các loại điện thoại hiện nay có dùng Java. Hàng trăm nhà cung cấp dịch vụ liên lạc di động cũng đang dựa vào J2ME để bán nhạc chuông, trò chơi và các nội dung truy tải khác.
Theo hãng Meta Group, gần 2/3 doanh nghiệp và tổ chức trên thế giới sẽ sử dụng các dịch vụ dữ liệu di động vào năm 2007. Thư điện tử cho thiết bị cầm tay sẽ đứng đầu các tiện ích này, với một nửa số tổ chức triển khai hệ thống e-mail không dây trong vòng 3 năm nữa và một năm sau đó tỷ lệ sẽ lên tới 75%.
Phan Khương (theo CNet
http://www.vnexpress.net/Vietnam/Vi-tinh/2004/10/3B9D7D1B/
Một chuyên gia Ba Lan vừa phát hiện 2 lỗi trong phần mềm của Sun Microsystems dùng cho thiết bị cầm tay. Khiếm khuyết có thể cho phép các chương trình nguy hiểm đọc trộm thông tin hoặc khiến điện thoại trở nên vô dụng.
Theo người phát hiện lỗi, Adam Gowdiak, chuyên viên bảo mật của Trung tâm mạng và siêu máy tính Poznan, những lỗ hổng này thực ra cũng khó khai thác vì các chương trình tấn công phải được thiết kế phù hợp với từng chiếc điện thoại khác nhau. Trên mạng tin an ninh Bugtraq, Gowdiak đã mô tả cách thức khai thác khiếm khuyết trên một chiếc Nokia 6310i song cho biết để làm được phải mất ít nhất 4 tháng.
Ngoài ra, trước khi những lỗ hổng nói trên có thể bị lợi dụng, người dùng điện thoại còn phải download và chạy một chương trình Java nguy hiểm, gọi là midlet. Gowdiak chưa phát hiện thấy cách nào có thể thực hiện tấn công tự động. Chuyên gia này đã thông báo cho Sun về lỗi nói trên từ tháng 8 và hai tuần sau đó công ty đã gửi cho các khách hàng mua bản quyền sản phẩm Java một phiên bản nâng cấp có tên “công cụ xác minh mã byte Java”.
Khi thử nghiệm lợi dụng lỗi, Gowdiak đã tạo được một số chương trình trên chiếc điện thoại Nokia để từ đó có thể gửi text hoặc ảnh, xóa bộ nhớ điện thoại, kết nối Internet và ăn cắp dữ liệu lưu trong sổ phone book - tất cả đều được thực hiện mà người dùng không biết.
“Tới nay, chúng tôi chưa thấy có bất cứ âm mưa nào khai thác lỗ hổng này, song nếu có, người sử dụng đơn giản chỉ cần xóa ngay các ứng dụng mà họ tải từ những nguồn không tin cậy”, Eric Chu, Giám đốc marketing phần mềm Java 2 Micro Edition (J2ME) của Sun, tuyên bố.
Phần mềm Java, cho phép các chương trình như video game chạy trên nhiều loại điện thoại khác nhau, đã trở nên rất phổ biến. Sun ước tính có khoảng trên 570 triệu thiết bị cầm tay hỗ trợ Java sẽ được bán ra tính đến hết năm nay. 1/3 tống số các loại điện thoại hiện nay có dùng Java. Hàng trăm nhà cung cấp dịch vụ liên lạc di động cũng đang dựa vào J2ME để bán nhạc chuông, trò chơi và các nội dung truy tải khác.
Theo hãng Meta Group, gần 2/3 doanh nghiệp và tổ chức trên thế giới sẽ sử dụng các dịch vụ dữ liệu di động vào năm 2007. Thư điện tử cho thiết bị cầm tay sẽ đứng đầu các tiện ích này, với một nửa số tổ chức triển khai hệ thống e-mail không dây trong vòng 3 năm nữa và một năm sau đó tỷ lệ sẽ lên tới 75%.
Phan Khương (theo CNet
http://www.vnexpress.net/Vietnam/Vi-tinh/2004/10/3B9D7D1B/