[Tech] Sicurezza - Bluetooth: Nokia segnala diverse vulnerabilita' su alcuni suoi cellulari

Nokia ha ammesso che alcuni suoi prodotti, ad esempio i telefoni Nokia 6310, 6310i, 8910 e 8910i, soffrono di alcune vulnerabilità connesse alla tecnologia Bluetooth che possono permettere a un intruso di leggere, copiare, modificare i dati presenti nella rubrica telefonica e nell'agenda-calendario del cellulare senza lasciare alcuna traccia dell'avvenuta intrusione.

...a Nokia spokesperson told ZDNet UK that the company is aware of "security issues" relating to Bluetooth devices that "makes it possible to download and modify phone book, calendar and other information on the phone without the owner's knowledge or consent, if Bluetooth is turned on."



However, the spokesperson said the attack was only possible if the phone was in 'visible mode' where it is set to actively search for other Bluetooth devices. The company admitted that a bluesnarf attack "may happen in public places, if a device is in the 'visible' mode, and the Bluetooth functionality is switched on. The phones vulnerable to 'snarf' attack include the Nokia 6310, 6310i, 8910 and 8910i phones as well as devices from another manufacturer."



(...)



Nokia also admitted that its 6310i handset is vulnerable to a Denial of Service attack when it receives a "corrupted" Bluetooth message: "A DoS attack would happen if a malicious party sends a malformatted Bluetooth... message to re-boot a victim's Nokia 6310(i). We have repeated the attacks and found that there are some corrupted Bluetooth messages that could crash the Nokia 6310(i) phone," said the spokesperson, who sought to reassure customers by saying that following the crash, the phone will reset and function normally.



Nokia will not be releasing a fix for the devices in the near future because it said the attacks are limited to "only a few models" and it does not expect them to "happen at large".

Quest'ultima affermazione mi pare ottimistica... È da tempo che mi aspetto il verificarsi di una "catastrofe" simile a MyDoom o a LoveSan nel campo dei telefoni cellulari: l'utente medio dei cellulari è mediamente molto meno smaliziato e "avvertito" dell'utente medio di computer, in fatto di sicurezza (e questo, sic, è tutto dire), e sostanzialmente non ha la minima idea di cosa sia e come funzioni l'oggetto che tiene in tasca o in borsetta: probabilmente crede davvero che sia solo un telefono (anzi, un "telefonino"), e immagino che continuerà a crederlo fino, appunto, alla prima grossa "epidemia virale", o al primo worm, o al primo serio furto di dati.



L'altro grosso produttore interessato dalle vulnerabilità dovrebbe essere il gruppo Sony Ericsson: una conferma dovrebbe arrivare già nelle prossime ore.



Fonte: ZDNet.