Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties

Een hacker zegt een manier te hebben ontdekt om zonder toestemming van de eigenaar met een Nokia S40-mobieltje te bellen, gesprekken op te nemen en gegevens te benaderen. Hij vraagt 20.000 euro voor een proof of concept.

De Poolse onderzoeker Adam Gowdiak beweert via Suns Java 2 Micro Edition volledige toegang tot S40-telefoons te kunnen krijgen en heeft zowel Sun als Nokia ingelicht. Die hebben echter, net als de rest van de wereld, slechts de beschikking over een kleine hoeveelheid informatie; voor de volledige onderzoeksgegevens moet 20.000 euro betaald worden. Vanwege de populariteit van Nokia's S40-platform denkt Gowdiak dat de door hem gevonden kwetsbaarheden een grote impact kunnen hebben, maar de Pool geeft toe dat zijn werkwijze op zijn minst controversieel is. Hij rechtvaardigt dat echter met de stelling dat hij zes maanden werk in het onderzoek heeft gestoken. Bij het uitblijven van betaling zal hij de bugs echter niet openbaarmaken. Over het vrijgeven van meer informatie wanneer de software is gepatcht denkt Gowdiak nog na.

Hacker T-shirtDe Pool geeft een opsomming van de kwade zaken die in het geniep met de vele miljoenen S40-toestellen zouden kunnen gebeuren. Naast het plegen van telefoontjes, het sturen van sms'jes en het benaderen van bestanden zou ook audio en video kunnen worden opgenomen, kunnen adressen worden uitgelezen en toegevoegd, kan de simkaart worden benaderd en kunnen applicaties worden geïnstalleerd.

Een aanval behelst volgens Gowdiak het sturen van een speciale berichtenreeks naar het telefoonnummer van het beoogde slachtoffer. Volgens The Register wordt, indien Gowdiaks verhaal correct is, voor het opzetten van de aanval een silent wap push-commando gebruikt, waarbij een applicatie op het toestel wordt geplaatst. De site wijst erop dat Java-toepassingen weliswaar beperkt zijn in wat ze kunnen bewerkstelligen zonder medeweten van de gebuiker, maar dat applicaties met de handtekening van de telco stilletjes kunnen worden uitgevoerd. Nokia en Sun zouden tot nog toe geen interesse hebben getoond om voor Gowdiaks onderzoek te betalen.

Moderatie-faq Wijzig weergave

Reacties (63)

Het gaat blijkbaar via een speciale manier van WAP push. Kun je dat soort commando's eigenlijk als niet-telco zijnde, naar een telefoon sturen? Zo nee, dan valt het risico nogal mee, dan zou alleen het netwerk waar je op ingelogd zit dit kunnen uithalen enh dat zie ik KPN, Vodafona of T-Mobile nog niet proberen. Misschien iets voor geheime diensten, om op telefoons van buitenlandse diplomaten los te laten?
De truck is waarschijnlijk dat je je voor doet als telco zijnde.
Functionaliteit als deze vraagt erom om gehackt te worden.

Als men iets op mijn telefoon willen upgraden zonder een okay van mij, is er dus een manier om dit te doen. Hack je deze methode en je kan feitelijk alles met mijn telefoon.
Tegelijk laat je zien dat je kwaliteit hoog in het vaandel hebt, en dat je geeft om de informatieveiligheid van je klanten. Ook is het wel de meest voordelige vorm om dit te realizeren. Want als er geen problemen zijn kost het je geen geld. Daar staat wel tegenover dat je een beter ontwerp en ontwikkelteam moet hebben om de gevonden problemen voor te zijn en/of indien gevonden te beoordelen en te verhelpen..

Ik heb wel eens gelezen dat het situaties kan uitlokken waarbij expres bugs geintrodiceerd worden om dan via een achterdeur geld te verdienen met de kennis van die bugs. Mogelijk dat dat ertoe heeft bijgedragen dat bedrijven hier heel terughoudend mee zijn.

Off topic:

Zelf vindt ik het jammer dat mensen met een goed idee of op een andere manier iets extras brengen (kennis bijvoorbeeld) daar zelden iets voor terug zien. Je wordt snel 'lastig' gevonden omdat je het ideale plaatje van matig management verstoord. Zij krijgen namelijk wel extra beloning voor resultaten en om dat met zo min mogelijk moeite te behalen is meer produceren of met minder mensen het gemakkelijkst. De rest is bijzaak en dus voor hun vervelend!
Als hij die exploit heeft kunnen vinden, kunnen developers bij Nokia dat ook, en anders is het wachten tot de exploit wordt, eh, geexploiteerd en dan weten ze ook hoe het werkt.

Ik ben geen Nokia-expert, maar S40 is toch ook al behoorlijk antieke meuk? Er zijn er ongetwijfeld veel van deze serie verkocht, maar hoeveel zijn er nog van in gebruik, aangezien de helft van de klanten elke 1 a 2 jaar een nieuw model kopen?
owh nee hoor, genoeg nieuwe S40's in de omloop...
S40 is voor de mainstream markt en S60 is voor high end markt, S40 is bijv natief Java en S60 is symbian met een java virtual machine om java apps te draaien.. sterker nog, over het algemeen zijn S40 machientjes sneller met j2me apps dan een S60...
buiten het feit dat er tientallen miljoenen van die S40 al in omloop zijn, dus jah je mag natuurlijk ook zoiets negeren omdat het "antiek " is, maar jah dan zou dat natuurlijk ook voor alle WIndows os'en gelden buiten Vista... ondanks er nog tientallen mijoenen kopietjes van XP thuis en in het bedrijfsleven gebruikt worden... of stoppen met alle bios updates van niet nieuwe generatie videokaarten/moederborden ;)
Ja, Nokia heeft ruwweg 45% van de wereldmarkt voor mobieltjes.
De S40 zit in meer dan 30% van de wereldwijde verkopen van alle mobiele telefoons! M.a.w. de S40 is hun mainstream platform.

http://www.allaboutsymbia...s_Q1_worldwide_smartp.php
http://seekingalpha.com/a...urephone-market-direction
Voor zover ik weet worden er nog steeds nieuwe telefoons uitgebracht verkocht met een versie van S40 erop. Zeker de goedkopere telefoons maken hier nog gebruik van.
Een compleet overzicht is hier te vinden Daar staan toch zeker nog wel veelgebruikte toestellen tussen.

[Reactie gewijzigd door BramBo op 12 augustus 2008 09:54]

Als hij die exploit heeft kunnen vinden, kunnen developers bij Nokia dat ook
Kunnen ze dat ook voor minder dan 20.000 euro ?
Als het echt allemaal zo erg is dan is dat bedrag van 20.000 euro toch niet eens zo heel veel voor een bedrijf als Nokia. Als ik Nokia was had ik hem gewoon het geld gegeven en hem de exploit laten demonstreren.
Dan zet je de deur open om je door iedereen te laten chanteren. Als je 1x toegeeft, moet je opletten hoeveel mensen daarna aankloppen met "ik heb nog een exploit, gaarne 100.000 overmaken of anders".

Daarnaast: veel bedrijven, met name in de entertainment-sector, hebben een policy met betrekking tot "unsolicited" concepten en zo. Nou is een filmscript natuurlijk niet hetzelfde als een potentiele Nokia-hack, maar meer om aan te geven dat bedrijven zelden ingaan op dit soort aanbiedingen.
Chanteren? Voor zover ik lees heeft hij niet gechanteerd. Ik begrijp wel dat ze niet willen betalen, want dan wil straks inderdaad iedere onderzoeker die een lek vindt geld zien.

Maar het is toch echt pas chanteren als hij dreigt met iets dat negatief is voor nokia. En dat doet hij dus net niet. Het volledig achterhouden van de informatie berokkent nokia geen schade. Als hij nou zou dreigen met het publiekelijk vrijgeven van de exploit wordt het een ander verhaal.
Nee van Chanteren is geen sprake... maar zeggen ik weet een groot en gevaarlijk lek... betaal me anders krijg je geen resultaten, riekt toch naar een smerige aanpak.

Waarom zou je anders 6 maanden van je leven vergooien voor iets waar je geen geld voor gaat ontvangen.

Het was beter geweest als dit zijn open sollicitatie zou zijn.
Hij had zijn tijd beter anders kunnen besteden, tenzij hij het gewoon leuk vindt om telefoons te hacken. Hij noemt hier maar 1 type toestel dus het is maar de vraag hoe nuttig het uitbrengen van een nieuwe firmware is. De meeste mensen zullen toch niet flashen en het gaat hier maar om 1 type.

Als deze hacker een beetje slim is heeft hij nog wat trucjes achter de hand.

Het wordt tijd dat hackers patches gaan schrijven en verkopen. Dat zou echt heel leuk zijn. Ik ben benieuwd hoe de industrie daar op reageert.
S40 is een platform, dat wordt op veel verschillende nokia gebruikt afaik
Wat is er mis mee als iedere onderzoeker die een lek vind geld wil? Voor het algemene publiek is het leuk als men die info gratis geeft mischien. De grote bedrijven zijn echter degene die profiteren. Behalve dat ze mischien niet eens willen weten van een lek want dan zouden ze juridisch verantwoordelijk kunnen zijn voor de gevolgen.
In het criminele milieu wordt aanzienlijk meer betaald voor een hack van dit caliber. Als Nokia en Sun aansprakelijk gesteld zouden kunnen worden voor misbruik van hun software, zou een dergelijk bedrag redelijk snel betaald worden. Nu wentelen deze bedrijven de risico's van fouten in hun software af op de eindgebruiker.
En wat is het probleem als het daadwerkelijk om exploits gaat? Wat kost het Nokia/Sun om dat zelf allemaal even uit te zoeken.

Wat had die pool dan moeten doen? Het opsturen naar Nokia/Sun en dan een "dank je wel" terug krijgen? Hij heeft hard gewerkt, en dat heeft iets opgeleverd.
20.000 euro is maar een peulschil voor Nokia hoor ;)
Het bedrag alleen al voor de reclame op TV enzo is al aardig groter, dus deze slechte reclame zullen ze wel niet willen.

Trouwens ging nokia nu niet symbian opkopen en overal s60 modelletjes van maken?
Trouwens ging nokia nu niet symbian opkopen en overal s60 modelletjes van maken?
Nokia zet de ontwikkeling van de S40 voort en breidt het zelfs uit (http://seekingalpha.com/a...urephone-market-direction).
Overigens zou dat toch geen biet uitmaken. Er zijn reeds tientallen miljoenen S40 mobieltjes in omloop. Denk je dat al die eigenaars ook allemaal een nieuwe S60 zouden aanschaffen?

Edit: typo

[Reactie gewijzigd door Fireshade op 12 augustus 2008 11:20]

Nou volgens mij is het een vorm van passieve afpersing, meer in de geest van 'hoor eens ik ben inbreker en weet hoe ik na bestudering van je huis hoe ik je huis moet openen dus ik zou graag even 20.000 euro willen zien'.

Dat klopt dus niet
Als je de vergelijking met huizen maakt..

Deze persoon zegt: "Ik heb gezien dat er een veiligheidsprobleem is met je huis. Het heeft iets te maken met je balkondeur, maar meer zeg ik niet. Als je echt goed wilt slapen kan ik je de resultaten van mijn onderzoek verkopen á 20.000 Euro. Als je toch wel goed slaapt koop je die info gewoon niet en wacht je af of er wordt ingebroken of niet."

De man dreigt niet met inbraak (zelf de hack exploiteren), of met het verkopen/weggeven van lopers (exploit apps), of zelfs met het publiceren van de applicatie.

Ik vind het wel een coole actie eigenlijk, de man is gewoon een ondernemer. Verder is 20.000 gewoon spotgoedkoop. Een team laten zoeken naar de bug is waarschijnlijk veel duurder!
Ja maar zolang er geen consequentiesaan zitten kan je het gewoon weigeren
Je mag toch onderzoek doen naar die mobieltjes? Die man doet niks fout. Is hij dan verplicht om zijn onderzoek vrij te geven?
Je vergelijking is niet correct. De inbreker benadert niet de eigenaar van het huis maar de bouwer van dit type huis (of de slotenmaker) met de opmerking dat het slot een vrij ernstige fout heeft. Met de gegeven informatie kan de bouwer/slotenmaker zelf ook de fout gaan opzoeken, maar dan is het kopen een stuk voordeliger.
Daarmee breekt de inbreker nog niet in en maakt hij de info nog niet bekend aan derden :?
leuk, en zo zitten we straks met een telefoon die elke week gepatched moet worden en voorzien is van een virusscanner en een firewall. Want 'men' voorziet telefoons van zoveel mogelijkheden dat het te complex wordt om te kunnen garanderen dat er geen misbruik van gemaakt kan worden en 'men' kan het niet laten om het voor een ander te verzieken.
Op wie ben je nu eigenlijk pissed?
* Op Nokia omdat ze een telefoon bouwen met (te) veel features?
* Op deze (en andere) onderzoeker(s) omdat ze de veiligheid van zulke systemen onderzoeken?
* Op crackers die exploits misbruiken (ja wie is daar niet boos op, is illegaal)
* of op jezelf, omdat je toch een telefoon met veel features wil terwijl het daardoor onveilig wordt?

Wat hier gebeurt is gewoon een samenloop van omstandigheden en die zie je overal in de IT terug. Ik hoop in elk geval dat je niet pissed bent op deze onderzoeker, die mijns inziens gewoon goed werk verricht, ondanks dat zijn methode misschien controversieel is.
Gelukkig is je mobiel altijd met een data netwerk verbonden dus kunnen die updates autmatisch gaan.
Ik vind dit niet zo vreemd.

Hij heeft uiteindelijk een programma ontwikkeld. Normaliter hoor je ook voor software te betalen. Helaas doet dit product iets wat de fabrikant niet wil, maar er zitten toch ontwikkelingskosten aan.

Zolang deze persoon de bedrijven niet afperst vind ik er niks verkeerds aan. Als nokia op eigen houtje de fout moeten opsporen zijn ze waarschijnlijk meer dan 20.000 euro kwijt aan arbeid alleen al.
Dus als ik iets maak wat een nadelig effect heeft voor, zeg, Microsoft PCs, dan moet Microsoft mij daarvoor betalen? Zo'n programma heet in de regel een virus, een trojan, spyware of wat dies meer zij. Als iemand ervoor moet gaan betalen heet het ransomware...
Onzin. Als jij voor eigen gebruik iets maakt wat een nadeling effect heeft op je PC, dan mag dat gewoon. Zolang je het maar niet verspreid of daarmee dreigt.

De situatie hier is heel simpel. De man beweert interessante informatie voor Nokia te hebben. Voor ¤20.000 geeft hij die informatie, en anders gebeurt er niets met die informatie.

Het enige bedenkelijke is dat hij openbaar heeft gemaakt dat hij die informatie heeft. Maar zelfs daar is nog wat voor te zeggen. Want ja, hij zet hackers nu op het spoor van die security bug, maar als hij het heeft kunnen vinden, is de kans reeel dat een hacker dat ook al gevonden heeft. Nu het openbaar is dat er mogelijk een security bug is, wordt Nokia in ieder geval gedwongen ernaar te kijken en worden die telefoons dus alleen maar veiliger.

Belangrijk is dat deze persoon niet van plan lijkt te zijn informatie aan derden te verkopen. Hij wil beloond worden voor zijn werk, maar aangezien hij dat werk ongevraagd heeft uitgevoerd accepteert hij het risico dat Nokia er geen behoefte aan heeft en hem dus niets betaald.

Sympathiek is zijn actie zeker niet, maar het is ook niet crimineel.
Voorheen kon je met een opgespoorde fout in software twee dingen doen: verkopen aan criminelen of de informatie publiek maken na eerst de bevinding aan de producent te melden. Voor de persoon die een (ernstige) fout vindt, zijn beide oplossingen weinig bevredigend. De eerste methode levert (veel) geld op, maar is moreel verwerpelijk. De twee methode is moreel hoogstaand, maar levert de vinder niets op, behalve een boel gezeur en mogelijk een zekere naamsbekendheid.
In dat licht is deze benadering niet eens zo onredelijk. Sun en Nokia kunnen met de informatie zelf op zoek gaan naar deze bug en dat zal ze zeer waarschijnlijk meer kosten dan het bedrag dat deze meneer vraagt.
beter dat er betaald wordt voor de informatie, dan gewoon op een blog zetten..
iedereen met een beetje kennis kan het gaan misbruiken.

nu heb je een beperking voor deze 0-day exploit..

heb geen zin dat een kidscripter mijn telefoon overneemt en mijn telefoon nummers weg gooit..

hoezo moet betalen? het is nog altijd een keus.. er is maar een ding in het leven wat we moeten en dat is heen gaan..
Als je zonder tussenkomst van de gebruiker van de telefoon gegevens van de telefoon kan uitlezen heet dat prutswerk. En dat hoeft anno 2008 niet meer geaccepteerd te worden.

Deze hacker doet er goed aan het zijn bevindingen eerst aan Nokia aan te bieden in plaats van ook echt een virus/trojan de wereld in te sturen en duizenden mensen te benadelen.
Ik neem aan dat er mensen zijn die die 20.000 euro wel willen betalen }> . Es zien hoe ome nokia dan gaat reageren.
Hij rechtvaardigt dat echter met de stelling dat hij zes maanden werk in het onderzoek heeft gestoken
Leuk, maar niemand heeft hem opdracht gegeven om dat onderzoek uit te voeren.

Klinkt meer als afpersing!
Zolang hij niet dreigt met het openbaar maken van de exploit wanneer ze niet betalen is er geen sprake van afpersing. Nokia en/of Sun hoeven dit niet te weten omdat het (nog) geen issue is.

Hij is de enige die het blijkbaar kan na 6 maanden research, dus ik sta er helemaal niet vreemd van te kijken als beide partijen hun neus ophalen voor deze man.
Oh ja? Hoe weet je dat hij de enige is dan?

lekker naief ...
Of optimistisch. Als er veel mensen zouden zijn die wisten hoe dit in z'n werk gaat dan zou er dusdanig veel overlast zijn dat die 20.000 euro allang betaald zou zijn. Dat is niet gebeurd en bovendien zijn er geen (of nauwelijks?) meldingen van misbruik, dus kan je er vanuit gaan dat bijna niemand (minimaal een persoon, maar maximaal een paar) mensen weten hoe deze exploit werkt.
Als je informatie te koop aanbied die potentieel schadelijk is dan hebben we het wel degelijk over afpersing, ongeacht of de transactie van het geld overmaken eerlijk verlopen is.
Het is afpersing is al je iemand met dwang geld of goederen afhandig maakt. In dit geval gebeurd dat niet. Hij dwingt Nokia en Sun tot niks en dreigt bovendien ook met niks. Hij zegt alleen dat hij na onderzoek bepaalde zwakheden in hun hardware/software heeft gevonden en biedt tegen betaling aan die gegevens aan hun te geven.
Het produkt van Nokia wordt hier wel degelijk mee bedreigt, als de claims kloppen.

Voor ¤20.000 mag u heb hebben, geef u mij he tgeld niet, dan is de eerste koper ¤20.000 in het bezit van de informatie met alle gevolgen van dien.
Dit noemt u iets anders dan afpersing ? Een geldtransfer in de privésfeer wellicht ?

En wat er niet gezegt wordt, wordt er aan de hand van deze actie wel duidelijk geïmpliceerd (betalen of anders).

[Reactie gewijzigd door fevenhuis op 12 augustus 2008 15:03]

Er wordt helemaal niet gezegd betalen óf anders!!

Hij vraagt slechts een som geld voor een gevonde gevaarlijke exploit, op zich niks mis mee. Klink misschien belachelijk, maar 6 maanden research en 20.000 euro en als je dan kijkt naar mondiaal nederlands inkomen.. Zeg ik dus dat het reuze meevalt, hij pakt het ook slim aan, omdat wanneer nokia en/of sun nu zeggen dat ze het niet kopen, gebruikers met de vraag zitten of het echt gevaarlijk is.. En dat is natuurlijk slecht nieuws voor nokia en sun..

Niet echt afpersing te noemen, helemaal "eerlijk" is het niet, maar wat is dat tegenwoordig wel..
Ik zei al dat er inderdaad niets letterlijk wordt gezegt, maar dat deze actie dat wel degelijk impliceerd. Ik heb er zo mijn twijfels over dat hij het slim aanpakt, als dit Nokia in het verkeerde keelgat is geschoten (wat niet geheel onwaarschijnlijk is), zullen ze wel gaan proberen hem het leven zuur te maken (bijv. door langerekte rechtzaken aan te spannen).
Aangezien het voor de naam van Nokia en de populariteit van dit toestel zeer negatief is als deze exploit niet snel onschadelijk gemaakt wordt valt dit natuurlijk toch gewoon onder de noemer chantage: anders had hij het alleen aan Nokia voorgesteld en verder de openbaarheid niet gezocht.
Morele chantage misschien, maar wettelijk valt hem niets ten laste te leggen. Bovendien vind ik dat hij ergens wel gelijk heeft: hij heeft een gevaarlijk lek opgespoord en hij biedt de mogelijkheid om dat lek te dichten. Mag die man soms niet proberen om voor zijn werk betaald te krijgen? Als ze bij Nokia slim zijn nemen ze die man in dienst, hij is blijkbaar goed in zijn vak en een doorzetter.
Klinkt als actief acquireren...
Zolang hij niet dreigt met het vrijgeven van de informatie (wat hij volgens het bericht niet doet) probeert hij gewoon de resultaten van zijn onderzoek te verkopen.

Er is niets mis met het vragen van geld voor werk wat je gedaan hebt.

Het is echter niet in opdracht gebeurt, dus als niemand hem wil betalen, dan krijgt hij gewoon geen geld en nokia en sun de resultaten niet.

Er is zoals het hier staat geen enkel sprake van afpersing.
Hey is eerlijk ... Hy geeft nokia en sun dekans voor een peulenschil van 20 000 euro er van af te komen. Stel je voor als hy het in de zwarte markt gooit.. Leuk botnetje maken van telefoons. Euhmm daar valt dus wel wat geld mee te verdiennen. en ook grote kosten risico's voor de klanten en dus eindelijk de teleco's en de producent van de telefoon/software.
afpersing is is je betaald geld of ik maak het openbaar en dat lees ik hier toch echt niet uit.

Maar goed waarom zou hij er geen geld voor krijgen, hij ontdekt iets dat grote gevolgen kan hebben en ja niemand heeft er om gevraagd maar hij heeft een fout ondekt. Beide bedrijven hebben ook mensen in dienst die fouten moeten opsporen en daar voor betaald worden. Dus helemaal verkeerd is het niet en echt hoog is het bedrag ook niet voor 6 maanden werk.
Overigens, ik heb hier met mijn team eindelijk dat spelletje af dat je zo graag zou willen. Ik verkoop het voor 50 euro.

Dit is gewoon het normale programmeer-en-verkoop model toegepast, maar dan op bugs zoeken.
Als het afpersing zou zijn dan had hij wel gedreigd om de exploit openbaar te maken.. Ben benieuwd hoe dit afloopt..

Er zit trouwens een typo in het stukje: "boogde" lijkt op ""beoogde"?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True