Nokia hat zugegeben, dass die vom polnischen Entwickler Adam Gowdiak entdeckten Sicherheitslücken existieren. Über sie können Nokia-Handys mit S40-Betriebssystem unbemerkt manipuliert werden, der Angreifer benötigt nur die dazugehörige Telefonnummer. Wie das genau funktioniert, erklärt Gowdiak in einem 178 Seiten langen Report, den er über seine Website für 20.000 Euro verkauft.
Das IT-Magazin The Register berichtet, dass der finnische Handyhersteller die Behauptungen untersucht hat und die Existenz der Sicherheitslücken bestätigt. Wie viele der über 100 Millionen bereits verkauften S40-Modelle davon betroffen sind, verrät Nokia nicht. Das Unternehmen arbeitet bereits an einer Lösung des Problems, sieht aber kaum Gefährdungspotenzial für bereits im Umlauf befindliche Handys.
Die Beschreibung des Hacks von Gowdiak lässt jedoch ganz anderes vermuten. Ihm sei es möglich, unbemerkt eine Applikation mit absoluten Benutzerrechten auf jedem Handy mit S40-Betriebssystem zu installieren. Darüber kann er aus der Ferne Kurznachrichten senden, Anrufe tätigen, Telefonate mitschneiden oder die Kamera verwenden. Allerdings hält sich der Sicherheitsexperte mit der genauen Beschreibung zurück, weil er sein Wissen teuer verkaufen will. Ob Nokia für den Bericht bezahlt hat oder die Lücke ohne seine Hilfe entdecken konnte, bleibt offen.
Eine sichere Softwareversion wird wohl nur in zukünftigen Nokia-Handys zu finden sein. Schon 2004 hatte der Softwareexperte Sicherheitslücken im S40-Betriebssystem entdeckt. Damals informierte er die verantwortliche Firma Sun Microsystems, die daraufhin die Lücke in ihrer mobilen Java-Version J2ME schloss. Die Hersteller verzichteten allerdings auf teure Rückrufaktionen oder umfangreiche Updates der bereits verkauften Handys und saßen das Problem einfach aus. Für die aktuell betroffenen Handybesitzer bleibt wohl nur die Hoffnung, dass Gowdiaks Report zu teuer für Kriminelle ist.