25 agosto 2008

"Dame 20.000 euros y te cuento más..."

La noticia empezaba en un primer momento bastante impactante, pero al final, lo que ha resultado más impactante es la frase que nuestro protagonista de hoy, el investigador Adam Gowdiak, ha lanzado al mundo y en especial a Nokia y Sun, haciendo referencia a una grave vulnerabilidad que afecta a los teléfonos móviles cuyo sistema operativo sea S40, y que según su entrada en la Wikipedia, afecta a más de 100 millones de dispositivos de dicha marca Nokia

"The pricing for the early access to the research material:
    *      early access for employees of one enterprise - 20 000 €"

El 11 de Agosto, en la página TheRegister, podíamos leer un primer análisis de este hecho, en el que se constata que este agujero encontrado en J2ME permitiría a un atacante instalar aplicaciones Java en cualquier aparato antes de que se permitiese a dichas aplicaciones acceder a las funciones del teléfono que deberían asegurarse gracias a su modelo de seguridad. Las aplicaciones son instaladas incluso sin que exista interactuación alguna con el usuario. En resumen, podríamos decir que la vulnerabilidad permitiría que cualquier aplicación Java tendría acceso completo a cualquier funcionalidad del teléfono, a cualquiera.

Lo que más asusta de todo esto, es que cualquier persona con acceso a este fallo, podría hacerse con el control de los teléfonos de la marca y versión descrita que estén a su alcance, y poder manejarlos a su antojo, como si de sistemas zombie se trataran. Mejor no imaginarnos el alcance de todo esto, porque aún sabiendo que la versión del sistema operativo S40 puede parecer algo anticuada, ¿cuantos de nosotros conocemos a gente que únicamente utiliza el teléfono para hacer llamadas y escribir mensajes SMS, y se conforman con su terminal de hace X años, aunque su pantalla tenga sólo dos colores y sus tonos se puedan hacer con un "organillo" Casio?


Dejando a un lado la parte técnica de la vulnerabilidad, Adam Gowdiak, como ya comentábamos en la introducción de esta entrada, se compromete a ofrecer absolutamente todos los detalles así como las correspondientes pruebas de concepto a aquel que le pague una cantidad de 20.000€. En la página Web del grupo para el que trabaja, Security Explorations, describe el material que facilitaría en el caso de que alguien le ofrezca el dinero que pide. 

Según informa DiarioTI, Nokia parece que no se ha pronunciado sobre si ha aceptado la propuesta del investigador, pero lo que si parece claro es que gracias a los pequeñísimos detalles que posee sobre estos agujeros, ya está trabajando en una solución.

[+] Fuentes : TheRegister, InfoWorld y DiarioTI