Долго думал, где создавать тему. То ли в "Инф.Без", то ли сюда. Решил всё же здесь.

Заметка здесь:
http://www.securitylab.ru/48439.html

Какие мысли по поводу?

hasherfrog
ИМХО все же правильнее было в Инф.без. запостить. Там аналогичные темы уже есть, ничто не мешало завести такую специально по мобилам. Хотя если говорить о конкретной статье, то там речь все-же не о мобилах в общем виде, а о смартфонах и тех же наладошках, а это вполне подошло бы под существующую тему:
Карманные ПК - уязвимости и методы их устранения
*» .:уязвимости WinCE, PalmOS и т.д.:.

Просто можно чуть название темы поменять и усе (с этим правда надо с ArtemD на всякий случай посоветоваться). А то в отдельную тему именно по мобилам данная статья все же не лезет, т.к. речь идет все же об уском подразделе и, в том числе, о "карманниках". А вот в общую тему - в самый раз.
Да разные. Я вот все жду, когда будут активно распространятся "вредрносные" ява-приложения для обычных мобил, че-то с этим пока подозрительно тихо. Ну и самые мрачные ожидания - это по ММС, когда появятся (обнаружаться) уязвимости уже в них. Вот тогда будет песня - всеми так нежно муссируемый вирус для мобил (именно мобилы, а не смартфоны) станет наконец-то реальностью.

Greyman
У нас небольшая, кхм. несостыковочка. Я-то имел в виду в первую очередь мобилы aka мобильные телефоны. Мне до КПК и смартфонов далеко :)

А "по поводу" думаю вот что: для мобильных телефонов возможны вирусы только на основе "человеческого" фактора.

Например, MMS. Отправка без уведомления пользователя невозможна. Аналогично и для SMS, для исх. звонка и т.д. Даже запрос на модификацию файловой системы - и тот выдается каждый раз. Единственное слабое место в моих рассуждениях - сертификаты. Если мидлет сертифицирован, он (теоретически) сможет мухлевать.

ПС. Я сужу по Siemens C65, возможно где-то дела обстоят иначе.

hasherfrog
Ну может ты то и имел, но статья то именно по вторым. Это у не загвок как всегда "журналюгский", а так именно то, о чем я говорил.
Здесь ты чуть-чуть не прав. К компу когда-нить телефончик подключал? Отправлять мессаги пробовал? Телефон тебя спрашивал? О чем это говорит? О том, что в ядре предусмотрена возможность безусловной отправки сообщений, просто она явно не выражена. Рано или поздно думаю появиться какое-нить ява-приложение, умеещее это делать (ну это конечно быстро пофиксится, однако кто эти фиксы ставит, если винды не каждый обновляет, то прошифки на телефонах - и подавно). Так что если мобила уже "заражена", то никакого человеческого участия уже технически не нужно. Остался только вопрос с начальным заражением. Пока я это вижу только через самостоятельную установку ява-приложений. Однако может кто сталкивался с такими случаями централизованного обновления ПО телефона через провайдера (типа смена логотипа или настройка структуры сервисного меню сим-карты). Да, стороннему человеку сложно воспользоваться этим каналом, однако стоит произойти утечке (хоть человеком, хоть посредством взлома сети самого оператора), то веселья будет хоть отбавляй...
* *Так что ждемс, ждемс-с...

GreymanХех, есссно. Только вот в чём дело-то: Управление телефоном в такой ситуации осуществляет комп (через АТ-команды), а не сама мобила чё-то мутит. В АТ предусмотрено отправление ММС (без участия человека), а в J2ME+MIDP - нет. Там вообще всё очень конкретно почикано. Знаешь, какой наиболее повторяющийся вопрос у мидлетчиков-программеров-хацкеров? А как бы обратиться к самому себе вроде как бы через RS232... Т.е. программно из мидлета посылать мобиле АТ-команды. Это невозможно.

Единственная инфа о вирусах, проскочившая не так давно и теоретически как-то обоснованная - что-то про вирус на блю-туф. Но я её пропустил мимо ушей, ибо у меня такой фичи нет.

hasherfrog
А, а, а... Слышал такую поговорку: "Никогда не говори никогда"? Ты путаешь "не предусмотрено производителем" и "невозможно". Разве кто мог раньше предположить, что комп может быть заражен простым прослушиванием мидишки, просмотром БМПешки или даже щелчком мыши по объекту на странице? А ведь это оказалось возможным, хотя и не было предусмотрено производителем. Именно об этом я и веду речь. Я не верю что можно предусмотреть все случаи. Именно поэтому я абсолютно не удивлюсь, когда такой способ таки обнаружеться, пусть *на конкретном производителе или даже модели. Давно известно, что усложнение системы только увеличивает вероятность ее "падения". Так что ждем-с...
* * *Ну а вторым каналом остаются сервисные команды. Здесь тоже есть поле для деятельности. Так что все у нас будет, а-а-абзатно...

П.С.
Мне еще класная штучка понравилась из каталога спец-техники. Специальный такой кейсик, который позволяет перехватывать и расшифровывать GSM-переговоры в реальном времени. Радиус действия более сотни метров. И стоит вполне для тех, кому очень нужно - менее 10 тон зеленых...

Наверное, возможность существования вирусов на мобильниках сводится тогда вот к какому вопросу: может ли мидлет перепрошить флеш? Если это как-то окажется возможным (по недоработке произодителя), то всё - кирдык. А что касается компов: сейчас биос можно изменить (win95cih).

Greyman
Ты был прав. Всю историю рассказывать не буду, отрывок из моего письма одному работодателю
Вот такая у меня паника :rotate:

Данные по уязвимости доступны ориентировочно с 23 октября. Официальное заявление, насколько могу судить, пока не делается. Если кто-то сможет скачать материалы по J2ME уязвимости раньше меня, большая просьба связаться со мной. В течении недели, дальше уже не надо. Адрес, где лежат доки, не даю, не маленькие, найдёте. Ключевое слово hitb04.

hasherfrog
Ты об этом?Это ж 56 метров. Ну допустим скачаю я сегодня-завтра, а что тогда? Тебе краткий перевод понадобиться? Я, например, бегло с инглишем не работаю. А если передавать, то как?

П.С.
Лично мне сама дисскусия эта не нужна, мне вполне хватит заявления, которое будет по этому поводу. Но если зачем-нить это нужно тебе, то могу скачать, не проблема...

Добавлено:

От туда же:

Greyman
Я уже почти закончил, так что просьба отменяется :)
Но каково, а!?..