De telefoonfabrikant bevestigde dat zijn telefoons die gebruik maken van de Serie 40 systeemsoftware gehackt kunnen worden waarbij er ongewenst en ongemerkt software op een Nokiatoestel kan worden geïinstalleerd en waarbij een hacker ook applicaties van de telefoon kan gebruiken.

Volledige inzage na betaling

Begin augustus onthulde de beveiligingsonderzoeker Adam Gowdiak het lek, waarbij hij aantoonde dat toestellen van Nokia die draaiden op Serie 40 software van Sun gehackt kunnen worden. Saillant detail is dat Gowdiak slechts een gedeelte van zijn bevindingen naar Nokia en Sun stuurde, waarbij hij aangaf dat hij pas de volledige resultaten van zijn onderzoek zou geven indien hij er 20.000 euro voor zou krijgen. Als reden voor deze eis gaf Gowdiak aan dat hij een half jaar heeft gewerkt aan zijn onderzoek.

Wel of niet betaald?

Mark Durrant, verantwoordelijk voor Nokia's bedrijfscommunicatie, liet weten dat het bedrijf een volledig exemplaar van Gowdiak's onderzoek in handen heeft. Hij gaf echter geen antwoord op de vraag of Gowdiak de 20.000 Euro heeft gekregen waar hij om heeft gevraagd.

Ook Gowdiak liet niets los over een eventuele betaling, maar dat alleen respectabele bedrijven het volledige onderzoek in handen kregen nadat ervoor betaald is. Het gaat om een rapport van ongeveer 180 pagina's en 14.000 regels proof-of-concept code.

Fabrikanten willen liever niet betalen

Normaal zijn vendors niet zo happig op het betalen voor resultaten van beveiligingsonderzoek en zij benadrukken dat onderzoekers een verantwoordelijkheid hebben om de resultaten van hun onderzoek vrij beschikbaar te stellen. Fabrikanten voelen er ook weinig voor om zaken te doen met onderzoekers die dreigen om informatie of een beveiligingslek te verkopen aan hackers.

Durrant geeft aan dat het heel makkelijk zou zijn met een soortgelijk idee een bedrijf onder druk te zetten. Hij nuanceert Gowdiak's eis: "Realiteit is dat Gowdiak een significante hoeveelheid onderzoek heeft verricht, en natuurlijk is het begrijpelijk dat hij naar een manier zoekt om geld te verdienen aan zijn onderzoek."

Diepgaande technische kennis

Gowdiak heeft zijn onderzoek verricht op de Java Virtual Machine. Op zijn eigen website schreef hij dat hij eerder werkzaam is geweest bij de ontwikkelaar ervan, Sun Microsystems.

Durrant laat weten dat de informatie die Nokia van Gowdiak heeft ontvangen diepgaande technische vaardigheden vereist: "Dit is niet iets wat iemand in een middagje kan uitvogelen in zijn garage. Hij (Gowdiak) is duidelijk een slimme vent."

Nadat Gowdiak op zeven augustus een korte samenvatting van zijn onderzoek naar Sun en Nokia stuurde heeft Sun bekend gemaakt dat er snel patches voor de software volgen. Gowdiak liet ook niet los of Sun heeft betaald voor het volledige onderzoek, maar Sun's intentie om een patch uit te brengen geeft wel aan dat zij genoeg hadden aan de informatie die Gowdiak hen gratis heeft toegestuurd.