Bug in Java, cellulari a rischio

Molti telefonini basati su Java potrebbero essere vulnerabili a due problemi di sicurezza che possono essere sfruttati da programmi malevoli per rubare informazioni e fare tabula rasa dei dati in memoria

Roma - La complessità del software che gira sui moderni telefoni cellulari, unitamente alla loro capacità di scaricare nuovi programmi dalla rete, rende ormai questi dispositivi una nuova potenziale fonte di insicurezza per chi li utilizza. L'ultimo esempio arriva dalla scoperta, da parte di un ricercatore universitario polacco, di due gravi falle di sicurezza nella Java 2 Micro Edition (J2ME), la piattaforma di Sun alla base di molti cellulari e smartphone.

Secondo il bug hunter Adam Gowdiak, le due vulnerabilità aprono la strada alla possibilità che un cracker, inducendo un utente a scaricare un programma Java malevolo, sottragga informazioni personali o renda il telefono inutilizzabile. Gowdiak afferma di aver testato con successo queste vulnerabilità su di un cellulare Nokia 6310i, ma il compito non è stato affatto facile visto che, su stessa ammissione dell'esperto polacco, ha richiesto circa quattro mesi di studio.

Sebbene le due debolezze siano molto complesse da sfruttare, Secunia le ha classificate in questo advisory come "highly critical" e ha suggerito agli utenti di smartphone Java-based di far girare sui propri telefoni solo applicazioni Java (midlet) scaricate da fonti fidate.
Sun ha spiegato che al momento non è a conoscenza di alcun exploit e che, nell'eventualità ce ne fosse uno, basterebbe cancellare l'applicazione malevola dalla memoria del proprio cellulare. Eric Chu, director of marketing di J2ME, ha tuttavia ammesso che la situazione è seria: a suo dire, infatti, i vendor e i produttori di antivirus non sono preparati per affrontare questo nuovo tipo di minacce. Il problema più grande, secondo Chu, è che i produttori di software per cellulari non sono in contatto diretto con gli utenti finali e le patch non possono essere distribuite con la stessa velocità e lo stesso tempismo che caratterizzano il mondo del software desktop. Nonostante ciò, il dirigente di Sun ha sottolineato come la tecnologia Java disponga di meccanismi di sicurezza nativi che rendono assai arduo, per un programma locale o remoto, compiere azioni non autorizzate.

Gowdiak ha spiegato di aver utilizzato le due falle, entrambe relative ad una non corretta validazione del bytecode da parte della Kilobyte Virtual Machine (KVM), per creare dei programmi per gli smartphone DCT4 di Nokia in grado di cancellare la memoria del telefono o connettersi ad Internet e spedire messaggi di testo, contatti e foto: tutto ciò all'insaputa dell'utente.
49 Commenti alla Notizia Bug in Java, cellulari a rischio
Ordina
  • La JVM degli smarphone Nokia è basata sulle API del sistema operativo SymbianOS, ma lo sapevate che per mandare in assistenza un Nokia nuovo bastano poche righe di codice?! Non si può parlare propriamente di falle, perchè se non adeguatamente documentate come per i buffer overflow, se di questo si tratta, potrebbero essere comportamenti ottenuti dallo sfruttamento di alcune particolari funzionalità dello strato J2ME atte a rendere più flessibile la programmazione del device, e questo è particolarmente difficile da stabilire con precisione se non si conosce la documentazione interna dei vari strati che compongono J2ME.
    non+autenticato
  • quando poi basta scaricare applicazioni fidate..
    Un po' come succede da anni con i sistemi operativi per computer... Che cambia?
    I cellulari si specializzano le tecnologie cambiano i problemi aumentano e anche i bug...
    Basta che non scaricate applicazioni dai P2P e li installate come dei forsennati sul cellulare non vi potra' succedere niente..
    Ciauz
    non+autenticato
  • java con la sua VM smatrata ha oramai dimostrato
    che razza di merda sia.
    passate a .NET e scoprite anche voi i favolosi prodigi
    di questa tecnologia.
    P/Invoke
    Struct
    unsafe pointers
    macro
    Attributi
    mono/Linux gnome
    Cil
    VM performante che lavora su stack il 90% in piu di java
    (quella java traduce il bytecode in heap e la jit è una merda )
    non+autenticato
  • Dipendente Microsoft?
    3518

  • - Scritto da: TPK
    > Dipendente Microsoft?

    no utilizzatore linux 100%
    conosco sia java che .NET
    e il motivo per la quale java è ancora sul mercato
    è soltanto grazie agli ammanicamenti politici e grosse
    ditte outsourcing (Accenture )
    il momento che verranno a mancare le condizioni sopra
    vedrai come java casca per terra.
    non+autenticato
  • > passate a .NET e scoprite anche voi i
    > favolosi prodigi
    > di questa tecnologia.

    Maronna.... tenetevi forte

    > P/Invoke

    All'insegna della portabilità! Yeah!

    > Struct

    Non saprei a farne a meno (this.IronicMode = true;)

    > unsafe pointers

    Hahaha (rientra sempre tra i favolosi prodigi?)

    > mono/Linux gnome

    Hahahahahaha (prova a usarlo poi mi dici....)

    > Cil

    Hahahahahahahahahaha (sei forte... si dice CLI)

    > VM performante che lavora su stack il 90% in
    > piu di java
    > (quella java traduce il bytecode in heap e
    > la jit è una merda )

    finchè usi la VM di Sun che vuoi pretendere...
    non+autenticato
  • ehhhhhhh
    E' PIU' SICUROA bocca aperta
    ma e' assurdo attaccare java e dire che e' insicuroA bocca aperta
    e' solo questione di diffusione di un prodotto non inventiamoci cavolate che software sicuri al 100% sono impossibili e chi programma lo sa..
    ciauz
    non+autenticato
  • intendevo dire che .Net non e' ne + ne meno sicuro di altri linguaggi non inventiamoci ora che .NET e' all'insegna della sicurezzaA bocca aperta
    non+autenticato
  • infatti e' dell'altro giorno un baco su di sicurezza su ASP.NET ma il ragazzo ha memoria breve e conoscenza limitata

    http://punto-informatico.it/p.asp?i=49952

    studia ignorante !!!
    non+autenticato

  • - Scritto da: Anonimo
    > > P/Invoke
    > All'insegna della portabilità! Yeah!

    Io lavoro solo su linux e non me ne fotte un cazzo
    della portabilità....
    il mio punto di vista puo essere sbagliato
    non lo metto in dubbio ma lavorando esclusivamente
    su un determinato OS il sistema P/Invoke è parecchio
    utile e ti permette di inglobare pezzi di librerie c con uno
    sputo.
    se vuoi è possibile fare anche il contrario ossia portare
    un progetto c su managed senza perdere la mole di codice
    gia scritto.

    > > Struct
    > Non saprei a farne a meno (this.IronicMode =
    > true;)

    le struct sono utilissime a livello di prestazioni
    come pure le union che sono value type

    > > unsafe pointers
    > Hahaha (rientra sempre tra i favolosi
    > prodigi?)

    attenzione unsafe non significa inaffidabile,
    hai la possibilita di allocare memoria unmanaged
    per eseguire lavori low level (che so driver )

    > > mono/Linux gnome
    > Hahahahahaha (prova a usarlo poi mi dici....)

    lo uso tutti i giorni e lo trovo stupendo....
    l'ottimizzazione non è un granche
    e il garbace collector è un po svaccheggiante
    tuttavia ci sono in ballo moltissime migliorie
    a partire dalla versione 1.2.

    > > Cil
    > Hahahahahahahahahaha (sei forte... si dice
    > CLI)

    Common Intermediate Language

    > finchè usi la VM di Sun che vuoi
    > pretendere...

    l'unica Vm decente era quella IBM e BEA con il jitter
    su sparc,peccato che sono a pagamento.....
    non+autenticato

  • - Scritto da: Anonimo
    > > P/Invoke
    >
    > All'insegna della portabilità! Yeah!
    >
    > > Struct

    I puntatori unsafe vengono esclusi attraverso un meccanismo spiaccicato alla sandbox per i contenuti scaricati da rete, quindi se il concetto (attento: diverso da implementazione che può o meno essere bacata in entrambi i casi) è sicuro su java per altre cose come accesso ai files su disco o alla rete, lo è anche l'uso dell'unsafe

    - Sui puntatori unsafe viene fatta una operazione chiamata pinning che dura l'arco di un blocco di (cioè tra { .. }) durante il quale non viene toccata dal garbage collector.

    - P/Invoke si fa molto spesso anche in java attraverso i metodi nativi (così è implementato il Java Media Framework, wrappando in pratica DirectX) e tale meccanismo è insicuro come l'unsafe o la P/Invoke, e anche qui interviene la sandbox a impedire l'accesso a queste features per il contenuto proveniente da rete.

    In effetti, tutte queste features "pericolose" esistono in entrambi, solo che .NET è + democratico permettendone l'uso da parte di tutti i programmatori (mentre java in qualche modo le relega ai + esperti, essendo necessario il ricorso ad altri linguaggi per l'implementazione finale).

    ora torna pure a giocare con la zava....
    non+autenticato


  • - Scritto da: Anonimo
    > java con la sua VM smatrata ha oramai
    > dimostrato
    > che razza di merda sia.

    gia' dalla tua affermazione si capisce il tuo livello culturale

    > passate a .NET e scoprite anche voi i
    > favolosi prodigi
    > di questa tecnologia.

    la uso e la valuto per quello che al contrario di te che parli senza sapere

    > P/Invoke
    > Struct
    > unsafe pointers
    > macro
    > Attributi

    tu del mondo Java conosci solo il nome te lo dico io

    > mono/Linux gnome

    per giocare

    > Cil
    > VM performante che lavora su stack il 90% in
    > piu di java
    > (quella java traduce il bytecode in heap e
    > la jit è una merda )

    e tu sapresti sicuramente fare di meglio, ma torna a giocare con le web forms ignorante come una capra
    non+autenticato
  • ricordate il grande motto java: write once run everywhere

    dopo la riscrittura in

    write once debug everywhere
    write once slow everywhere
    write once bugs everywhere
    ecc...

    ora ci possiamo aggiungere anche

    write once exploit everywhere

    hahahha vai java continua cosi e anche bello pensare che molte interfacce web ad i nostri conti correnti sono scritte con questo colabrodo di linguaggio.
    non+autenticato
  • Invece ActiveX e' sicuro?

    - Scritto da: Anonimo
    > ricordate il grande motto java: write once
    > run everywhere
    >
    > dopo la riscrittura in
    >
    > write once debug everywhere
    > write once slow everywhere
    > write once bugs everywhere
    > ecc...
    >
    > ora ci possiamo aggiungere anche
    >
    > write once exploit everywhere
    >
    > hahahha vai java continua cosi e anche bello
    > pensare che molte interfacce web ad i nostri
    > conti correnti sono scritte con questo
    > colabrodo di linguaggio.

  • - Scritto da: Alessandrox
    > Invece ActiveX e' sicuro?
    >

    e che centra mica ci girano sotto il mio cellulare gli activex, mentre quella sbucarola della vm java si, se riesco a trovare come la elimino.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > e che centra mica ci girano sotto il mio
    > cellulare gli activex, mentre quella
    > sbucarola della vm java si, se riesco a
    > trovare come la elimino.

    Piu' un sistema informatico e' complesso, piu' e' probabile che ci siano dei bug. Se volete i videofonini o i cellulari con tutte le menatine che fanno tanto trendy allora dovete, a quanto pare, tenervi i bug. Personalmente preferisco il mio vecchio telefonino, display in bianco e nero, niente MMS. Per esempio ha anche il wap, ma non l'ho mai usato. Per me un telefono serve solo per telefonare, al massimo qualche SMS. I videofonini li lascio volentieri tutti a Megan Gale e ammiratori...

    Salutoni da GiGiO
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > e che centra mica ci girano sotto il mio
    > > cellulare gli activex, mentre quella
    > > sbucarola della vm java si, se riesco a
    > > trovare come la elimino.
    >
    > Piu' un sistema informatico e' complesso,
    > piu' e' probabile che ci siano dei bug. Se
    > volete i videofonini o i cellulari con tutte
    > le menatine che fanno tanto trendy allora
    > dovete, a quanto pare, tenervi i bug.
    > Personalmente preferisco il mio vecchio
    > telefonino, display in bianco e nero, niente
    > MMS. Per esempio ha anche il wap, ma non
    > l'ho mai usato. Per me un telefono serve
    > solo per telefonare, al massimo qualche SMS.
    > I videofonini li lascio volentieri tutti a
    > Megan Gale e ammiratori...
    >
    > Salutoni da GiGiO

    scusa Gigio ma la VM java non e prerogativa dei vidieofonini, credo che da 2 o 3 anni a questa parte quasi tutti i modelli di cellulari includano questa fesseria quindi , io che ho affogato il mio nokione ed ho comprato un cellulare assolutamente per lavorare non per giocare mi son ritrovato la vm java in mezzo agli zebedei, senza averla richiesta, e li che mi consuma rom e spero niente altro

    ciao
    non+autenticato

  • - Scritto da: Anonimo
    > ricordate il grande motto java: write once
    > run everywhere
    >
    > dopo la riscrittura in
    >
    > write once debug everywhere
    > write once slow everywhere
    > write once bugs everywhere
    > ecc...
    >
    > ora ci possiamo aggiungere anche
    >
    > write once exploit everywhere
    >
    > hahahha vai java continua cosi e anche bello
    > pensare che molte interfacce web ad i nostri
    > conti correnti sono scritte con questo
    > colabrodo di linguaggio.

    Quale è il linguaggio che non ha bachi di sicurezza ?
    Quello che deve ancora venire...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Quale è il linguaggio che non ha
    > bachi di sicurezza ?

    Quello che non ti piazza in mezzo ai maroni codice suo. ASSEMBLY o C e tanta competenza, non ci vuole altro per scrivere codice robustissimo.
    non+autenticato
  • > hahahha vai java continua cosi e anche bello
    > pensare che molte interfacce web ad i nostri
    > conti correnti sono scritte con questo
    > colabrodo di linguaggio.

    tutte le volte che devo installare su qualche server una "web application" che usa java o, peggio, far funzionare sui client qualche applicazione sul web che e' stata sviluppata in java mi viene da piangere.

    Ma e' possibile che non ci sia praticamente *mai* la retrocompatibilita'? Tutte le volte che un applet java non funzionava m'e' toccato di scoprire che p.e. voleva la versione 1.1.2 e che con la 1.4 non c'era verso di farla andare.Addirittura l'ultima volta ho visto un collega bestemmiare 15 gg perche' quella certa applet voleva la versione java di microsoft, si' quella messa dentro a XP finche' l'antitrust non glie l'ha proibito, e non piu' scaricabile?? E i webmaster del sito che usa questa applet manco lo sapevano. L'avevano provata sui loro pc, andava, amen. E non era un sito "free" per cui puo' valere il concetto "ti do una cosa gratis, se non ti funziona mi spiace ma pazienza" ma un sito di un fornitore che dava ai suoi clienti un servizio importante.

    E che cavolo, se una persona capita che debba interagire con 2 siti che usano applet che vogliono un javaRE diverso, devo dargli 2 computer??????

    E poi 'ste applicazioni sono lente, pesanti, fanno effetti speciali inutili e secondo me non danno praticamente mai niente che non possa dare un onesto PHP, che non carica i client non rompe le ** a nessuno, che ha avuto qualche baco di sicurezza (pochi) ma sempre prontamente aggiustato.

    tinto
    non+autenticato


  • >
    > tutte le volte che devo installare su
    > qualche server una "web application" che usa
    > java o, peggio, far funzionare sui client
    > qualche applicazione sul web che e' stata
    > sviluppata in java mi viene da piangere.
    >
    > Ma e' possibile che non ci sia praticamente
    > *mai* la retrocompatibilita'? Tutte le volte
    > che un applet java non funzionava m'e'
    > toccato di scoprire che p.e. voleva la
    > versione 1.1.2 e che con la 1.4 non c'era
    > verso di farla andare.Addirittura l'ultima
    > volta ho visto un collega bestemmiare 15 gg
    > perche' quella certa applet voleva la
    > versione java di microsoft, si' quella messa
    > dentro a XP finche' l'antitrust non glie
    > l'ha proibito, e non piu' scaricabile?? E i
    > webmaster del sito che usa questa applet
    > manco lo sapevano. L'avevano provata sui
    > loro pc, andava, amen. E non era un sito
    > "free" per cui puo' valere il concetto "ti
    > do una cosa gratis, se non ti funziona mi
    > spiace ma pazienza" ma un sito di un
    > fornitore che dava ai suoi clienti un
    > servizio importante.
    >
    Bwahahahahah, è successo anche a me!!!
    Parliamo forse degli stessi peracottari?

    > E che cavolo, se una persona capita che
    > debba interagire con 2 siti che usano applet
    > che vogliono un javaRE diverso, devo dargli
    > 2 computer??????
    >
    > E poi 'ste applicazioni sono lente, pesanti,
    > fanno effetti speciali inutili e secondo me
    > non danno praticamente mai niente che non
    > possa dare un onesto PHP, che non carica i
    > client non rompe le ** a nessuno, che ha
    > avuto qualche baco di sicurezza (pochi) ma
    > sempre prontamente aggiustato.
    >
    > tinto

    Quoto e condivido ogni parola.
    :D
    non+autenticato
  • > Bwahahahahah, è successo anche a me!!!
    > Parliamo forse degli stessi peracottari?

    temo di no, mi sa che praticamente tutti i siti con le applet java sono "difficili". cmq alla fine il collega ha risolto... trovando sul sito M$ qualcosa che poteva "surrogare" il necessario.

    in caso scrivi tinto AT tinto DOT orgOcchiolino
    non+autenticato
  • - Scritto da: Anonimo
    > > Bwahahahahah, è successo anche a
    > me!!!
    > > Parliamo forse degli stessi peracottari?

    > temo di no, mi sa che praticamente tutti i
    > siti con le applet java sono "difficili".
    > cmq alla fine il collega ha risolto...
    > trovando sul sito M$ qualcosa che poteva
    > "surrogare" il necessario.

    Che cosa ha trovato? Puoi mandare un link?

  • Java sui cellulari e' lento, e ha ancora tanti
    di quei problemi che e' un rischio incredibile
    per la privacy.
    La gente non si rende conto di che tragedia
    e' diventato Java finche' non ci sbatte il muso.
    E' stato il primo linguaggio managed, ci abbiamo
    creduto tutti, ma ormai e' un carcassone morente
    e lentissimo.
    Il .NET Compact Framework sta prendendo
    sempre piu' piede sui cellulari a causa della
    lentezza ed immobilita' di Sun. Di questo
    passo ci ritroveremo tutti con Windows anche
    sui cellulari, e Bill Gates dettera' legge pure sulle
    tariffe telefoniche...

    La cosa grave e' che anche i migliori programmatori
    Java se ne stanno accorgendo.
    Slava Pestov (si, quello che ha fatto il JEdit) ha
    gettato la spugna e ha scritto:

    "It is clear that Java was never practical for developing real applications, and never will be. Instead of asking how you can revive something that's obviously dead and gotten much more hype than it deserves, you should be asking if there's better technology out there."



    non+autenticato
  • veramente dovresti informarti meglio che windows mobile gira su pochissimi cellulari... e ti ricordo che ha anche perso alcuni contratti microsoft con alcune case proprio con alcune case importanti...
    Il sistema operativo + quotato e' symbian per cellulari tanto e' vero che gira su tutti i nokia (ma guarda che strano sono i + venduti) e su alcuni sony ericsson e su alcuni siemens..
    MMMM che strano... dove e' microsoft in tutto questo?
    tra le grosse compagnie: Samsung Nokia Siemens Motorola SonyEricsson non mi pare di vedere nessun windows mobile..
    E si sta diffondendo? ma dove....
    Ti ricordo che j2me non e' manco il sistema operativo dei cellulari e volendo programmare un virus per il sistema operativo del cellulare potresti radere al suolo il telefono (parlo di farlo in symbian in windows mobile etc)..
    Nessuno per ora e' stato cosi' ... da farlo.
    Violare la sandbox non e' stato facile ci sono voluti 4 mesi di studi e ora mi vieni a dire che java e' insicuro... pensa al tuo windows mobile... E' solo questione di diffusione non ti sembra?
    Java e' su qualsiasi cellulare oramai... anche il + economico (o quasi).
    J2me gira circa da 2 anni io direi che una falla anche se grossa in 2 anni da quando esiste (per lo meno in Italia perche' in giappone ai voglia... ) non e' un bruttissimo risultato o sbaglio? anche perche' non pensi siano inevitabili le falle in un qualsiasi programma o windows mobile 'e perfetto?
    Prima di blaterare e attaccare dicendo cose insensate sarebbe meglio riflettere solo un attimo...
    saluti
    non+autenticato
  • " Il .NET Compact Framework sta prendendo
    sempre piu' piede sui cellulari a causa della
    lentezza ed immobilita' di Sun. Di questo
    passo ci ritroveremo tutti con Windows anche
    sui cellulari, e Bill Gates dettera' legge pure sulle
    tariffe telefoniche..."
    ... .net compact framework gira su symbian epoc o altri sistemi operativi per cellulare? No girerebbe solo su windows mobile..
    per favore... shhhh
    non+autenticato
  • In realtà tutti i produttori da te citati (tranne uno che non può a seguito di una diatriba legale) hanno pronti modelli SmartPhone con Windows Mobile.
    non+autenticato
  • vabbe' va sei un che parla parla e fatti 0..
    :P
    ciao ciaoCon la lingua fuori
    non+autenticato
  • Non sono quello di prima, però cercando molto velocemente con Google è uscito che il Motorola MPx200 usa Windows Mobile, quindi non è vero che Motorola usa solo Java (tanto per citare una marca di quelle da te segnalate)

    Ciao

    - Scritto da: Anonimo
    > vabbe' va sei un che parla parla e fatti 0..
    >Con la lingua fuori
    > ciao ciaoCon la lingua fuori
    non+autenticato
  • equiparare java a un sistema operativoCon la lingua fuori
    Mamma miaA bocca aperta !
    Ne ho citato 5 case e mi tiri fuori un telefono..
    Sai quanti telefoni ha ogni casa?:P
    ma per favoreA bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)