Java-API des Siemens S55 mit Schwachstelle
Die Java-API des Siemens S55 ermöglicht es Applikationen, Anwendern beim Versenden von SMS falsche Meldungen unterzuschieben.
Die Java-API des Siemens Handys S55 ermöglicht es Applikationen, Anwendern beim Versenden von SMS falsche Meldungen unterzuschieben. Anwender könnten im Glauben, einem harmlosen Bildschirmdialog zu folgen, unter Umständen mehrere hundert SMS an beliebige Nummern verschicken. Versucht eine Java-Applikation eine Nachrichten zu senden, so fragt sie zunächst um Erlaubnis. Der Trick basiert auf dem Überlagern der Frage mit einer eigenen Grafik. Steht dort statt "Wollen Sie die SMS senden?" "Wollen Sie spielen?", führt der Klick auf "yes" zum ungewollten Senden.
Denkbar sind auch Geschicklichkeitsspiele mit Links-Rechts-Tasten zur Steuerung: Bei Vielspielern kann die Telefonrechnung schon mal etwas höher ausfallen. Eine Benutzerinteraktion ist aber auf jeden Fall notwendig. Ein Programm zu Demonstration der Schwachstelle ist im Original-Advisory aufgeführt. Eine Lösung gibt es für das Problem nicht. Anwender sollten nur Java-Applikationen aus vertrauenswürdigen Quellen auf dem S55 starten.
Siehe dazu auch: (dab)
- Security Advisory auf Full Disclosure
