Sun Microsystems will die Sicherheitslücke schließen, durch die theoretisch über eine Milliarde ausgelieferter Java-Handys mit dem Betriebssystem S40 angegriffen werden können. Das meldet die britische Ausgabe des Informationsdienstes ZDNet. Die Mobiltelefon-Hersteller sollen in den nächsten ein oder zwei Monaten ein Update der Java 2 Micro Edition (J2ME) von Sun erhalten. Betroffen seien vor allem Nokia-Handys mit dem Betriebssystem S40, die ungefähr 2004 auf den Markt gekommen sind, sagt Sun. Der Entdecker der Sicherheitslücke, Adam Gowdiak, scheint also nur seine vor vier Jahren veröffentlichten Erkenntnisse neu verpackt zu haben, um sie mit einer Geldforderung zu verbinden.
20.000 Euro hatte der Programmierer aus Polen in der vergangenen Woche für den Download eines detaillierten Reports verlangt, um damit seine neu gegründete Firma zu finanzieren. Ein paar Tage früher habe sich Gowdiak bereits bei Sun und Nokia gemeldet, um sie über die Sicherheitslücken in J2ME zu informieren und Geld zu verlangen. Ob eines der Unternehmen gezahlt hat, ist nicht bekannt. Weder Nokia noch Sun wollen die Forderung Gowdiaks kommentieren.
Sun sagt, dass die meisten der "Sicherheitserkundungen" von Gowdiak lediglich die Nokia-Variante von J2ME betreffen und für andere Handys kaum Gefahr besteht. Es sei sehr schwierig, diese Schwachstellen auszunutzen, zitiert ZDNet einen unbenannten Sprecher. Die aktuelle J2ME-Implementierung mit der Versionsbezeichnung CLDC-HI sei nicht anfällig. Für einen wirklichen Angriff würden einige gerätespezifische Informationen benötigt, die nicht frei verfügbar sind. Vielleicht stehen diese Geheiminformationen aber in dem Report, denn Gowdiak hat genaue Erklärungen und Programmierbeispiele versprochen.
Wenn Nokia jetzt ein Java-Update von Sun bekommt, dann bedeutet das nicht unbedingt mehr Sicherheit. Dafür wäre eine großangelegte Informationskampagne und eventuell sogar eine Rückrufaktion nötig, damit jeder betroffene Handynutzer das Update auch installiert. Die Handyhersteller sitzen solche Probleme gern aus. Als vor vier Jahren die Sicherheitsunternehmen @stake, Integralis, AL Digital und der Chaos Computer Club innerhalb weniger Wochen mehrere Bluetooth-Sicherheitslücken präsentierten, die Millionen von Handys betrafen, zeigten die Hersteller kaum eine Reaktion. Sowohl die Mobiltelefone als auch deren Sicherheitslücken existieren immer noch.