<
您现在的位置:主页 > 相关案例 >



研究员找到移动Java漏洞 要Sun诺基亚付赏金


8月14日国际报道 一名波兰安全研究员,宣称已找到移动Java的多个瑕疵,但他要求2万欧元的赏金,才愿意提供完整的细节资料。
  Security Explorations创始人兼首席执行官Adam Gowdiak个人网站上写道,他已经制作了两组概念验证码(总长超过1.4万行),足以攻击那些影响Sun与诺基亚在其产品中使用移动Java(简称J2ME)执行的弱点。他把自己178页报告的前几页公布在网站上,但要求诺基亚或Sun付给他2万欧元后,才提供其余的内容。
  Gowdiak表示,他采取这种方式是为了在波兰创设一个先进的安全研究中心筹资。他写道:比起向(创投)公司乞求资金,这是更好的方法。他的总筹资目标为100万欧元。
  根据其网站上的自传,Gowdiak似乎也曾是Sun的员工。
  这份研究报告似乎包括如何黑入诺基亚Nokia Series 40手机,和恶意锁定如电话资料、SMS发送、语音及视频记录、通讯录访问和SIM卡访问等功能的信息。根据Gowdiak说法,攻击者可以拨出电话、连上互联网,或读写手机中存储的档案。
  Gowdiak以声明表示:Security Explorations成功地证明了Sun在最新版的Java Wireless Tollkit所使用的移动Java技术,确实存在被发现的瑕疵。他说攻击者只需要目标手机的电话号码,就能未授权进入被锁定的诺基亚装置。
  Gowdiak表示,他要求研究报酬的非寻常举动,有助于维持我们研究行为的自由。在Security Explorations网站的问答集中,宣称不担心因此招来诉讼,因为如果特定的软件商宁愿把钱送给律师,而不愿付给改善他们产品安全的人,我们也无可奈何。
  Sun或诺基亚都没有针对Gowdiak的要求作出回应。找到软件弱点的安全研究员目前有两个出售成果的渠道:TippingPoint通过其成立的Zero Day Initiative(零时差方案),提供赏金给通报弱点的研究员。而VeriSign的iDefense Vulnerability Contributor Program(弱点贡献者方案),对于已充分研究、高影响的弱点,最高奖金达1.5万美元。

上一篇:泰国TOT计划2011年11月开通3.9G网络

下一篇:没有了