Viren über Java aufs Handy?

pstrub
Das ist der Sun KVM Bug, den ich angesprochen habe. Bei Nokia 6310(i) einfach die neuste Firmware drauf machen lassen und weg ist auch dieser (alte) Bug der Sun KVM Sandbox.

Zitat

Original geschrieben von pstrub
Wenn ich mich recht erinnere, ging es darum, dass auf Handys bis jetzt das Ausbrechen aus der Sandbox eben nicht während der Laufzeit eines Programms, sondern schon während des Compilierens in den Bytecode verhindert wird. Schafft man es, einen Bytecode zu erzeugen, der nicht in der Sandbox bleibt, gibt es auch keinerlei Warnungen im Handy.

Ja, so etwa. Java-VMs für Desktop-PCs prüfen erst zur Laufzeit ob der Bytecode keine Fehler enthält, aber um die Java-VMs für portable Geräte so einfach wie möglich zu halten, wir hier diese Prüfung schon beim Bauen der Applikation mit dem Preverifier gemacht. Das Handy muss aber trotzdem zur Laufzeit prüfen, ob der Bytecode mit dem Preverifier geprüft ist, wenn es nicht der Fall ist, soll der Bytecode nicht ausgeführt werden. Es gab schon fehlerhafte VMs, wo dies nicht gemacht wurde, aber das ist wie schon geschrieben ein Bug in der Implementierung und kein grundsätzliches Sicherheitsproblem.

Bei den Mobilfunkgeräten von Siemens (SL45i, x55) mit MIDP1.0 Unterstützung ist es durch geschickte Programmierung möglich, externen Bytecode auszuführen, also z.B. irgendwelche Assemblerbefehle zu starten. Weiterhin kann man im Dateisystem rumfuhrwerken sowie heimlich SMS senden (indem das Fragefenster "SMS an xy senden? Ja/Nein" durch ein eigenes überblendet wird. Auf den Softkey muss trotzdem gedrückt werden.)

Man sollte also vorsichtig sein bei diesen Modellen.