Nun ja, dem Artikel fehlen meines Erachtens Hinweise darauf, wie der Trojaner überhaupt auf's Handy gelangen kann.
Es wird von einer zweifachen Bestätigung gesprochen um den Trojaner zu "aktivieren" - wie die Meldung
aussehen soll, wird aber in keinem Wort erwähnt.

Alles relativ schwammige Aussagen, die keinerlei handfesten Anhaltspunkt über die Gefahrenquellen liefern.
Auch kann ich die Produktionsspanne von Geräten von 2005-2007 nicht nachvollziehen.

Allerdings kann ich mir schon fast denken, um welche "Sicherheitslücke" es sich handelt.

Ich kann hier nur aus einer relativ lustigen Erfahrung sprechen:

Bei uns in der Firma hat sich eines Tages bei einem Freund von mir eine Datei via Bluetooth angekündigt.
Der Sender war nicht erkennbar!!! Er hat natürlich abgelehnt, denn er hat die Datei nicht erwartet.
Der Empfang war nur innerhalb des Raucherbereichs (neben dem sich Büros befinden) möglich.

Hatte man also BT aktiviert und ist an dieser Zone vorbeigelaufen, so hat man gezwungenermaßen die
BT-Anfrage erhalten. Es handelte sich um eine sis-Datei.

Ich habe mit meinem Uralt-Knochen (dem K750i; Produktionswoche 19/05) die Datei sorglos angenommen.
Schließlich wusste ich ganz genau dass diese Datei nur von Symbiangeräten kommen konnte - also nichts verwertbares für mein K750i.

Nun konnte ich auch den Ursprung dieser Datei ausmachen - der Übeltäter war ein Nokia 6260!
Wie sich später herausgestellt hat, war es ein Trojaner auf Symbian-Basis, der gewöhnlichen ENEA/A100er-Plattformen nichts ausmachen kann.

[Thread bei Gelegenheit bitte in Sony Ericsson Allgemein verschieben]

Gar nichts.
Ziemlich oberflächlich der Artikel. Keine Beispiele, keine Details.

Da dieser Bericht nur sehr vage die Sicherheitslücke beschreibt, kann man leider keine genauen Aussagen über die schwere der Sicherheitslücke machen.

Nichtsdestotrotz halte ich diese Angriffsmöglichkeit für sehr unrealistisch:

1. Der Anwender muss den Zugriff bestätigen (sowohl Dateizugriff als auch die Internetverbindung)
   Das Java Sandbox Prinzip scheint daher korrekt zu funktionieren.
   
2. Um permanenten Zugriff auf die Daten zu erlangen, muss dieser Trojaner mit einem Root Zertifikat signiert sein.
   Kennt man ja aus diversen Freeware Anwendungen, unsignierte Programme fragen bei jedem Zugriff um Erlaubnis. Und sollte der Trojaner wirklich signiert sein, könnte man darüber den Verfasser ausfindig machen.

Zitat

Zitat von m-one
Nun ja, dem Artikel fehlen meines Erachtens Hinweise darauf, wie der Trojaner überhaupt auf's Handy gelangen kann.
Es wird von einer zweifachen Bestätigung gesprochen um den Trojaner zu "aktivieren" - wie die Meldung
aussehen soll, wird aber in keinem Wort erwähnt.

Was muss man denn bestätigen wenn man Programme auf seinem Handy installiert? Sind das meines Wissen nach nicht auch zwei harmlos wirkende Fragen?!

Und gelangen soll der Trojaner aufs Handy durch Spiele oder andere Software wo er eingebaut ist.

Zitat

Zitat von phoneman
1. Der Anwender muss den Zugriff bestätigen (...)
Das Java Sandbox Prinzip scheint daher korrekt zu funktionieren.
2. Um permanenten Zugriff auf die Daten zu erlangen, muss dieser Trojaner mit einem Root Zertifikat signiert sein (...)

Vielleicht ist ja genau das die Sicherheitslücke. Das es diese Bestätigung nicht braucht.

Edit

Zitat

(...)Dort befinden sich neben den Einstellungen für das Mobiltelefon auch persönliche Nachrichten (SMS, MMS, E-Mail) und sicherheitskritische Zertifikate. Wird solch ein Zertifikat ersetzt, kann ein Angreifer sich als Hersteller des Mobiltelefons ausgeben. So erhält er Zugriff auf alle geschützten Funktionen des Gerätes. Er kann den Benutzer ausspionieren und ihm durch das unbemerkte Versenden von Premium-SMS und -MMS finanziellen Schaden zufügen(...)Die Anfertigung von Ton- und Bildaufnahmen, das Auslesen von Adressbuch und Terminkalender sowie der persönlichen Nachrichten oder die Erstellung eines Bewegungsprofils des Benutzers stellen weitere Möglichkeiten des Missbrauchs dar

[ Quelle ]

Na endlich mal etwas detailliertere Informationen, das entspricht natürlich schon eher einer schwerwiegenden Sicherheitslücke.
Mit geänderten Zertifikaten sind die Schutzfunktionen natürlich komplett ausgehebelt, und wie einfach man Zertifikate im Dateisystem verändern kann wird hier im Forum ja tagtäglich besprochen.
Neu bzw. gefährlich ist halt die Möglichkeit auch von einer Java Anwendung aus dem laufenden Handy heraus diese systemkritischen Dateien zu ersetzen, es gibt da in der Tat einen denkbaren Weg um dies zu ermöglichen.

Anscheind gibt es heutzutage kein Gerät mehr was keine Sicherheitslücken hat!!!

ich halte trotzdem nicht viel davon, da

1. die java applikation auf dem handy installiert werden muss.

und

2. zwei abfragen des handys bestätigt werden müssen.

und selbst dann halte ich es für unrealistisch, dass das alles ohne bemerken des benutzers passiert, da ja mindestens das java symbol eingeblendet wird.

und vor allem wäre in dem fall die sicherheitslücke der benutzer, der eine datei annimmt,und sie startet und dann jede nachfrage des telefons bejaht...

Aber wie soll das in der Praxis laufen? Ich fahre in der U-Bahn mit eingeschaltetem Bluetooth - dumm genug, aber okay. Plötzlich bekomme ich die Anfrage, ob ich ein Spiel installieren will, das ich gar nicht angefordert habe.
Wer nimmt so eine Datei denn an?

Gruß
grisu59964

Nein. Ein Kumpel sendet Dir ein Spiel das Du haben willst. Bumm hast den Virus.
Zweite Theorie. Du lädst ihn von einer Internet-Seite. Bumm.
Dritte. Du benutzt eine Tauschbörse. Zack schon passiert. Wird Zeit das ein Anti- Virus Programm für Java Anwendungen rauskommt.

Das zweite und dritte sind aber nicht unbedingt vertrauenswürdige Quellen. Ich würde jetzt einfach mal behaupten, dass man beim Anbieter direkt oder bei Resellern nur saubere Ware bekommt. Wer sich die Programme illegal aus dem Netz saugt, muss dann halt auch mal mit Konsequenzen ganz anderer Natur rechnen.
Und woher ein Freund das Spiel hat, danach könnte man auch mal fragen. Vermutlich aus den anderen beiden Quellen

Bleibt also vorerst, nur aus vertrauenswürdigen Quellen die Spiele zu beziehen. Ich installiere ja auch nicht jede dahergelaufene setup.exe auf meinem Rechner.

Ist zwar schade, dass jetzt die Aussage "Mit Java-Programmen kann deinem Handy nichts passieren" nur noch eingeschränkte Gültigkeit hat, aber hysterisch muss man ja jetzt nicht werden, wenn man keinen Programmen aus dubiosen Quellen vertraut.

Wenn man nur Programme aus vertrauenswürdigen Quellen beziehen würde (...) dann würde das ganze Trojaner/Virus Problem überhaupt nicht mehr oder nur noch im eingeschränkten Umfang existieren. Meiner Meinung nach jedenfalls.

http://golem.de/0711/56028.html

Golem hat es auch...