Nokia godkjenner sikkerhetsfeil i serie 40 OS

Nokia bekreftet torsdagens operasjonssystem som er mye brukt, har sikkerhetsproblemer som kan tillate installasjon og aktivering av applikasjoner.

Men selskapet var unnvikende om det betalte € 20.000 (US $ 29.500) til forsker Adam Gowdiak av Security Explorations, som ønsket betaling for innsats brukt til å finne feilene.

"Av åpenbare årsaker til sikkerhet, vil vi ikke kommentere ytterligere om detaljene i våre aktiviteter med Security Explorations," skrev Nokia talskvinne Kaisa Hirvensalo i en e-post.

Gowdiak, en forsker i Polen, sa tidligere denne måneden han hadde funnet problemer med Java 2 Micro Edition, (J2ME) en applikasjonsramme for mobil de vices, så vel som Series 40 OS. Nokia-krav Serie 40 er den mest brukte mobilenhetsplattformen.

Gowdiak har forsket på Java Virtual Machine og skrev på sitt nettsted at han jobbet på en gang for sin utvikler, Sun Microsystems.

Leverandørene styrer vanligvis klar for å betale forskere for informasjon om sårbarhet og alternativt oppfordre det de sier er «ansvarlig avsløring» eller en diskret varsel før sårbarhetsinformasjon blir offentliggjort. Ellers er brukere av en bestemt programvare i fare mens en leverandør prøver å utvikle en oppdatering.

Nokia sa at noen av sine 40-serien er sårbare for et angrep som kan føre til hemmelig installasjon av applikasjoner. Selskapet sa at det også har funnet at tidligere versjoner av J2ME kunne tillate privilegium eskalering eller tilgang til telefonfunksjoner som bør begrenses.

"Vår testing har konsentrert seg om produkter som kan ha begge kravene," ifølge en Nokia uttalelse.

Nokia sa at det ikke er kjent med angrep mot Serie 40-enheter, og problemene representerer ikke en "betydelig risiko".

Mens detaljer om sårbarhetene er begrensede, har Gowdiak sagt at et angrep kunne monteres ved å sende ondsinnede meldinger til et bestemt telefonnummer.

Gowdiak kunne ikke nås umiddelbart for kommentar.