Un hacker polaco, que se autoproclama experto en seguridad, asegura haber descubierto vulnerabilidades en la tecnología de Java para móviles que Nokia utiliza en sus terminales de gama media S40, que pueden poner millones de teléfonos en situación de riesgo.

Adam Gowdiak, que se encuentra en fase de creación de una empresa de investigación sobre seguridad denominada Security Explorations, afirma que los defectos afectan a unos 140 modelos distintos de teléfonos Nokia. Pero dada la proliferación de la versión más reciente del Java ME de la firma Sun, el número de dispositivos vulnerables podría alcanzar los 1.500 millones si se incluyen otras marcas de móviles.

Gowdiak también asegura que las vulnerabilidades de Java móvil permiten a los hackers evitar por completo las restricciones de seguridad e instalar aplicaciones maliciosas en el terminal de la víctima sin el conocimiento de ésta.

No obstante, Gowdiak ha sido criticado por el sistema que ha utilizado para dar a conocer el problema. No ha distribuido públicamente la nformación, o al menos no de forma gratuita. En su lugar, ofrece un informe técnico de 178 páginas, que incluye código de ejemplo, por una suma de 20.000 Euros.

Gowdiak se manifiesta reticente a regalar el resultado de meses de investigación, y aspira a recaudar alrededor de un millón de euros con los que constituir Security Explorations.

No está claro si Nokia ha adquirido el informe, pero Gowdiak considera que los usuarios finales deberían ser conscientes de la existencia de una posible vulnerabilidad en cuanto la conozcan los fabricantes, aunque no se hagan públicos los detalles.

El hacker asegura ser capaz de lograr toda una serie de hitos en los dispositivos vulnerables, sin el conocimiento ni el consentimiento de los propietarios. Entre dichos hitos se cuentan el envío de mensajes SMS, MMS, WAP y push; el establecimiento arbitrario de llamadas telefónicas y conexiones a Internet; el pleno acceso de grabación y lectura a los ficheros almacenados en el terminal; la grabación de fuentes de audio y de vídeo; el acceso total al listín de contactos; el acceso a la tarjeta SIM; y la instalación de aplicaciones de puerta trasera en el teléfono sin disponer de privilegios de operador de red ni de fabricante.

Gowdiak insinúa que la intrusión se lleva a cabo enviando una secuencia de mensajes en un formato especial a un teléfono Nokia determinado y compara el ataque con los que afectan a los PC. Todas las aplicaciones maliciosas pueden ser ejecutadas en segundo plano, lo que significa que resultan invisibles en la pantalla del teléfono y para el usuario del mismo, ha asegurado Gowdiak.

El hacker también ha revelado que ha echado un primer vistazo a la seguridad de la plataforma Android, pero ha insinuado que como el sistema operativo aún está en fase de desarrollo, los programadores dispondrán del tiempo suficiente para resolver los posibles problemas antes del lanzamiento oficial del producto.

[vía]