Wereldwijd maken meer dan 100 miljoen toestellen wereldwijd gebruik van deze op Javatechnologie gebaseerde besturingssoftware. Met de hackmethode kunnen kwaadwillenden stiekem telefoongesprekken voeren, gesprekken opnemen en toegang krijgen tot informatie in de telefoon.

Adam Gowdiak, een veiligheidsonderzoeker die eerder een aantal bugs heeft gevonden in Java 2 Micro Edition (J2ME) van Sun, liet weten dat hij twee zwakke plekken in de beveiliging heeft ontdekt van de Nokia telefoons. Zowel bij Sun als bij Nokia heeft hij het beveiligingslek gemeld.

Volledige inzage na betaling

Hij heeft echter een beknopte versie van zijn rapport naar beide bedrijven gestuurd. Willen Sun en Nokia complete inzage in het probleem dat Gowdiak heeft ontdekt, dan zullen ze daar 20.000 euro voor neer moeten leggen. Hiervoor krijgen ze dan ook de proof-of-concept code, waarmee theoretisch wordt aangetoond dat de hack werkt zonder dat er daadwerkelijk schade mee wordt aangericht.

Complete controle van buitenaf

De lekken kunnen worden gebruikt door hackers om ongewenste Java applicaties naar Nokia telefoons te sturen die draaien op de Serie 40 software. Deze applicaties kunnen vervolgens gebruikt worden om er mee te bellen en berichten te versturen. Ook het opnemen van audio en video behoort tot de mogelijkheden. Hackers krijgen ook toegang tot alle bestanden in de gsm, de lijst met contacten en de informatie op de simkaart, aldus Gowdiak. Kortom: zo'n beetje alles wat er op de telefoon is opgeslagen.

Meer dan 100 miljoen toestellen

"Dit kan elke beveiliging binnen J2ME volledig uitschakelen", aldus Gowdiak in een interview: "Het stelt hackers in staat om te doen wat ze willen op elke mobiel apparaat." Gowdiak liet weten dat hij alles bij elkaar veertien beveiligingslekken heeft ontdekt in de Nokia Serie 40 telefoons. Volgens Nokia zelf is Serie 40 wereldwijd het meest gebruikte mobiele platform. Gowdiak schat dat er momenteel 140 verschillende Nokia modellen gebruikmaken van de software.

Alleen een telefoonnummer nodig

Alles wat een hacker nodig heeft om een specifiek Serie 40 toestel over te nemen is het mobiele nummer van de telefoon. Er kan misbruik gemaakt worden van een beveiligingslek in het platform om een aantal ongewenste berichten naar elke gewenste telefoon te sturen. "Door de zwakke plekken te gebruiken in de Serie 40 telefoons kan een hacker malware creëren die door de eigenaar van de telefoon niet wordt opgemerkt", aldus Gowdiak.

Niet alleen Nokia toestellen

Hij heeft zeven verschillende telefoons getest die gebruik maken van de Serie 40 software, waaronder minstens één toestel uit elke grote lijn van Nokia handsets. Desondanks sluit Gowdiak niet uit dat toestellen van andere fabrikanten die ook J2ME gebruiken ten prooi kunnen vallen aan de hackmethode.

Volgens Gowdiak bevat ook de huidige versie van Sun's draadloze Java toolkit dezelfde bugs. Deze toolkit is in feite een software developer's kit (SDK) om draadloze applicaties te bouwen die zijn gebaseerd op J2ME. Dit betekent dat elke applicatie die wordt gebouwd met de toolkit automatisch dezelfde zwakke punten zal bevatten, onafhankelijk van de telefoon waarvoor wordt geprogrammeerd.

Controverse rond betaling

Gowdiak heeft laten weten dat zowel Sun als Nokia hebben bevestigd dat ze zijn melding hebben ontvangen en dat ze naar zijn weten bezig zijn met de kwestie. Hij gaf echter ook aan dat de gemelde beveiligingslekken niet de meeste aandacht zullen genereren, maar de voorwaarden die Gowdiak heeft gesteld aan het leveren van de complete informatie rondom de beveiligingskwesties.

Om zijn startup te financieren – het Poolse bedrijf Security Explorations – verkoopt Gowdiak zijn rapport voor een bedrag van 20.000 euro. Hij rechtvaardigt dit bedrag met de uitleg dat hij zes maanden aan het rapport heeft gewerkt en dat er een enorme hoeveelheid onderzoek aan vooraf is gegaan. Gowdiak heeft zelf echter goed door dat zijn methode nogal wat beroering teweeg zal brengen. "Natuurlijk, de hele veiligheidsbranche is verdeeld", zo liet hij weten. "Sommigen zullen tegen zijn en anderen zullen voor."

Hij zei dat de hoeveelheid informatie die hij aan Sun en Nokia heeft gestuurd 'vergelijkbaar' was met wat hij eerder naar vendors heeft gestuurd. "We zijn geen afpersers", zei hij. "Bedrijven hebben een keus of ze veiligheidsonderzoek door ons willen laten uitvoeren of dat ze zelf experts in dienst willen nemen om hun beveiligingskwesties te onderzoeken." Naar Gowdiak's mening beschikken de bedrijven over volledige informatie met betrekking tot de kwetsbaarheid.

Spectaculaire onthulling

Gowdiak benadrukte tevens hoe spectaculair zijn bevindingen zijn: "Dit is de eerste keer dat zo'n ernstig en omvangrijk beveiligingslek voor de Serie 40 telefoons van Nokia aan het licht komt. We hebben bewezen dat deze apparaten gehackt kunnen worden en geïnfecteerd met malware, op dezelfde manier als dat bij PC's gebeurt."

Op de vraag of hij van plan was om nog meer informatie rond Sun en Nokia naar buiten te brengen zodra ze hun producten hebben aangepast was het antwoord kort: "We nemen het in overweging."