Beiträge von zigo

Der Entdecker der Schwachstelle hat sich dazu geäussert, und auch ein gutes Beispiel der Auswirkungen von Nokias Protektionismus gegeben (Skype):

Zitat

As many of you have guessed, my focus is on other activities than "hacking" and I have no intentions to play game of cat and mouse with Nokia. My sole intention is to free myself (and the developers) from Nokia's control, as the capability restrictions are clearly placed for limiting the competition and to protect Nokia's own business.

And what ever your twisted press or Nokia tells you, the hacked firmware is not really a security exploit. It's not remotely exploitable and even locally, it practically requires you to code the program yourself. This is a new useful tool for Symbian developer's toolbox, opening new possibilities for the home based developers, working as subcontractors or looking for publisher.

Nokia's PR claims this hack opens door to piracy, viruses and malware. Not really. The "sensitive" capabilities give access mostly to phone's local features, like task management and multimedia features. The most dangerous capability (from phone bill point of view), NetworkServices, was already user grantable. In fact, using the described hack you could also remove that, making your phone more secure. Even if you intentionally make the hack, the software is still installed through same mechanism and user is notified of the possibly dangerous self-signed content.

Let me take an example about Nokia's protectionism: If you want to implement a new "Skype" type application, which uses Wi-Fi for audio transportation, you need to obtain MultimediaDD capability from Nokia. Without MultimediaDD capability, you cannot do full duplex audio, required for any sensible human conversation.

It's nice to present "open platform" to the press, but the reality is that Nokia is interested in any competition threats for it's current business, and by controlling the access to phone's APIs using capabilities, it can control who can develop and what kind of software.

Alles anzeigen

von http://symbaali.info/

Es geht mir hier auch weniger um die 2€, welche man vielleicht noch knapp als Entwicklungskosten sehen kann, als um die Tatsache, dass das Programm registriert werden muss.. Sowas finde ich einfach nur mühsam und das werde ich auch auf keinen Fall unterstützen.
Zudem kommt die IR-Datenbank durch mithilfe der Anwender zustande, welche dafür aber kein Geld bekommen. Von dem her sollte der Programmierer auch nicht so kleinlich sein.

Aber ganz abgesehen davon würde ich es natürlich auch begrüssen, wenn es wieder ein IR Programm geben würde.
..auch wenn der IR Port beim E65 etwas ungünstig plaziert ist :o

Weshalb sollte ich 2€ für ein Programm bezahlen, dass ich nur 15 Tage lang nutzen kann und erst noch registrieren muss?!

Symbian signed erhöht die Sicherheit nicht und von daher kann auch das Wegfallen des Signierzwanges kein Sicherheitsproblem sein, da gebe ich dir völlig recht. :top:
Deshalb erstaunt mich auch, wieso Nokia so schnell reagiert hat. Denn bei wirklichen Sicherheitsproblemen hat es immer mehrere Monate gedauert, bis ein Update erschienen ist. Dem Nutzer Rechte zu entziehen scheint Nokia also viel wichtiger als die Sicherheit ihrer Mobiltelefone :flop: .

Erstaunlich, wie schnell Nokia reagieren kann . Aber wenn es um Sicherheitsupdates geht, dann dauert das mindestens ein halbes Jahr.. Wirklich tolle Leistung. Ich werde mit es mir 10 mal überlegen, bevor ich wieder ein Nokiatelefon kaufen werde.

Das kann leider passieren.. vermutlich ist die VM abgestürzt (!). Und sowas soll sicher sein.. :flop: :flop: :flop:

Interessant, jetzt könnte man die Fehler von Nokia korrigieren . Ich bin aber immer noch der Meinung, dass dies die Aufgabe von Nokia ist und dass Nokia den Signierungszwang abschaffen soll.
Aber weshalb sollte man die Kompression nicht verstellen können? Also wenn die Kommpressionsstärke in den Code integriert wurde, dann wäre das mehr als amateurhaftes Vorgehen..

EDIT: Aber ich denke es wäre am Einfachsten, wenn solche Versuche auf freien Geräten durchgeführt werden.. Bei Erfolg kann man es dann immer noch auf der 3rd Edition probieren..

Generell finde ich die Situation aber alles andere als gut.. Jetzt können die Profis ihre Geräte freischalten, nicht aber der unerfahrene Nutzer, welcher sich ein solches Telefon kauft, weil er die Möglichkeiten eines freien Telefons gesehen hat...
Nokia muss endlich einsehen, dass der signierzwang ein sehr kundenunfreundlich ist...

Zitat

Original geschrieben von bery95
Wenn das offiziell bekannt wird, wird Nokia wohl oder übel etwas ändern müssen, weil sich sonst keiner mehr ein S60 Handy kauft.

Falsch. Die ganze Geschichte hat es schon einmal gegeben, und damals hat es die wenigsten Interessiert. Nokia hat auch nicht reagiert, erst Monate später (für einige Geräte sogar Jahre später!) wurde einen Patch veröffentlicht. Und wer hat deshalb kein Telefon gekauft? Ja? Wer weiss überhaupt noch davon? Anscheinend fast niemand.. von dem her spielt es gar keine grosse Rolle, was es im Endeffekt ist, es wird sowieso die wenigsten kümmer.. :o

Auch wieder wahr...
Also ich halte es für sehr unwahrscheinlich, dass GPRS oder so verwendet wurde. Das wäre ja auf der nächsten Rechnung ersichtlich
Ich tippe auf Bluetooth oder WLAN Bug oder Taschenspielertrick. Wir könnten ja einen Poll starten

Zitat

Original geschrieben von Deifie
Die Geschichte mit Rex Spy ändert aber nichts an der Tatsache das man die Datenmenge nicht so schnell über eine GPRS/UMTS Verbindung übertragen kann...

Wie schon gesagt muss ja nicht alles übertragen werden, sondern nur, was gerade betrachtet wird. Und gerade Kontakte und ev. Anruferbilder sind alles andere als gross.