1 2 3 4 5 6

Últimas Noticias

Nokia Admite fallas de seguridad en el SO de la Serie 40

ComputerWorld 22-Ago-2008

Nokia Corp. confirmó hoy que el ampliamente usado sistema operativo de la Serie 40 tiene vulnerabilidades de seguridad que podrían permitir la instalación no autorizada y activación de aplicaciones.

Pero la compañía fue evasiva sobre si ha pagado casi 30,000 dólares al investigador Adam Gowdiak de Security Explorations, quien pidió el pago por el esfuerzo hecho al encontrar las fallas.

"Por obvias razones de seguridad, no haremos más comentarios sobre los detalles de nuestras actividades con Security Explorations", escribió Kaisa Hirvensalo, vocero de Nokia en un correo electrónico.

Gowdiak, un investigador de Polonia, dijo a principios de mes que había encontrado problemas con Java Micro Edition (J2ME), un framework de aplicación para dispositivos móviles, así como en el SO de la Serie 40.

Gowdiak ha realizado la investigación en la Máquina Virtual de Java y escribió en su sitio Web que trabajó un tiempo en su desarrollo en Sun Microsystems Inc.

Los distribuidores normalmente pagan a los investigadores de información sobre vulnerabilidades y alternativamente fomentan lo que llaman "discreción responsable", que consiste en una notificación antes de que la información de la vulnerabilidad se haga pública. De otra forma, los usuarios de un software en articular están en riesgo mientras el distribuidor trata de desarrollar un parche.

Nokia dijo que algunos de los productos de su Serie 40 son vulnerables a un ataque que podría resultar en la instalación secreta de aplicaciones. La compañía dijo que también ha encontrado que versiones recientes de la J2ME podrían permitir escalamiento de privilegios o acceso a las funciones del teléfono que deberían estar restringidas.

"Nuestras pruebas se han concentrado en productos que pueden tener las dos fallas presentes", de acuerdo a un comunicado de Nokia.

Nokia dice que no tiene reportes de ataques contra los dispositivos Serie 40, y los problemas no significan un "riesgo significante".

Mientras los detalles de la vulnerabilidad son limitados, Gowdiak ha dicho que un ataque podría montar y enviar mensajes maliciosos a un número telefónico.

Hasta el momento Gowdiak no ha podido ser localizado, por lo que no ha hecho comentarios respecto al tema.

Fuente: ComputerWorld  JAG/OOP

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT

r) {}