Уязвимость в телефонах Sony Ericsson дает полный доступ к файлам
Мобильные телефоны Sony Ericsson, выпущенные в 2005-2007 гг., содержат уязвимость, позволяющую Java-приложениям получить полный доступ к системным файлам. Таким образом, злоумышленник может добраться до сертификатов подлинности установленных программ и установить в системе собственные программы.
Первооткрыватели уязвимости, исследователи Бременского университета (Bremen university) Эдриан Новак (Adrian Nowak) и Карстен Сор (Karsten Sohr), отмечают, что для установки программы пользователь должен разрешить ей чтение и запись в файловую систему. Однако таких полномочий требуют многие программы, и пользователь может не заметить подвоха, сообщает Heise-Security.co.uk.
Уязвимости подвержены модели, работающие под управлением собственной операционной системы Sony Ericsson и представляющие пользователю Java-среду. Это K750i, K800i, K810i, T650i и W880i.
Исследователи продемонстрировали эксплойт при помощи написанной ими программы на Java, однако отказались предоставить подробности до тех пор, пока компания не устранит уязвимость. Sony Ericsson пока не отреагировала на сообщение публично.
В сентябре в телефонах Sony Ericsson была найдена еще одна уязвимость: программа шифрования хранимых паролей, «Code Memo», позволяет при определенных манипуляциях раскрыть их. Уязвимость нашли специалисты Института ИБ Фраунхофера (The Fraunhofer Institute for IT security, SIT).
Положительная сторона новой уязвимости заключается в том, что пользователь может удалять некоторые файлы и логотипы, встроенные компанией в телефон в рекламных целях.
© CNews