Schwere Sicherheitslücke bei Java-Handys

Adam Gowdiak, polnischer Hacker und Sicherheitsexperte, hat es geschafft, eine wesentliche Sicherheitslücke in der Java-Technik vieler Mobiltelefone zu finden. Mittels spezieller Byte-Code-Befehle erhielt er Zugriff auf den Hauptspeicher der Geräte und konnte damit Systemfunktionen außerhalb der Java-Virtual-Machine nutzen. Sicherheitsmechanismen, die normalerweise solchen eingeschleusten Code entdecken sollten, konnte er den Angaben zufolge aushebeln.

Von dieser Sicherheitslücke sind mehrere hundert Millionen Handys betroffen, da die Unterstützung für Java-Spiele bei aktuellen Handys schon fast zur Standardausstattung gehört. Die Lücke ermöglicht beispielsweise das Schreiben von Trojanern. Solche Trojaner könnten dann in normalerweise harmlosen Inhalten wie Java-Spielen versteckt werden, die massenhaft zum (kostenpflichtigen) Download von (WAP)-Homepages angeboten werden. Nach der Installation des Downloads aktiviert sich das versteckte Unterprogramm, und ermöglicht dem einsetzenden Hacker, das Telefonbuch des Opfers auszulesen oder kostenpflichtige Premium-SMS zu verschicken. Es ist nach Angaben von Gowdiak sogar möglich, den internen Flash-Speicher zu überschreiben und damit das Telefon unbrauchbar zu machen.

Gowdiak informierte bereits vor einiger Zeit die Java-Programmierer von Sun Microsystems. Bei seinem Vortrag über diese Sicherheitslücke auf der Konferenz Hack in the Box [Link entfernt] klammerte er zahlreiche Details aus, um es Hackern nicht zu einfach zu machen, Trojaner oder Viren zu programmieren. Medienberichten zufolge bestätigte Sun, dass das Problem bekannt und seitens Sun bereits beseitigt ist. Allerdings ist nicht bekannt, ob und wann die Handy-Hersteller die Updates in die Firmware ihrer Handys einbinden und wann Endkunden ihre Handys aktualisieren können.

Zum Thema "Handy-Sicherheit" und "Firmware-Updates" siehe auch unser Editorial Brüller am Ohr.