J2ME's Risk - ケータイJavaに脆弱性 [ t]

TAROSITE.NET: BLOGGING

J2ME's Risk - ケータイJavaに脆弱性

by TARO MATSUMURA @taromatsumura 2004.10.24 14:34

　現在主にDoCoMoやVodafoneが搭載しているケータイ向けJavaであるJava 2 Micro Editionに脆弱性が発見されたそうだ。auにもJ2ME搭載の端末があるが、BREWへの移行が進んでいる。

・ITmedia: J2MEに脆弱性。携帯電話のJavaアプリに影響 -　セキュリティ企業のSecuniaは、Java 2 Micro Edition (J2ME) にバイトコード検証の脆弱性が存在するとのアドバイザリーを発行した。これはアダム・ゴウディアック氏が指摘したもので、Java 2 Micro Edition (J2ME) に2種類の脆弱性が存在し、脆弱性があるシステムが、不正なアクセスにより悪用される可能性があるという。この脆弱性は、KVM (Kilobyte Virtual Machine) のバイトコード検証コンポーネントにおいて、バイトコード検証が十分でないことに起因する。

　ケータイにはびこるウイルスとは違うものの、最近のアプリには電話帳やメールフォルダ、画像フォルダへのアクセスを可能にするモノもあるため、これらの脆弱性により、多くの人にとって一番身近なメディアの中にある情報の漏洩する懸念もあるかもしれない。これらの情報は結構恥ずかしいモノも含まれていると思うし、何より従量課金の通信料を不正アクセスで使われるのは納得がいかない。

　事実、そういったケータイの中の情報にアクセスするアプリを作るには、DoCoMoの場合固いガードがあるが、完璧なセキュリティだとも言い切れないので対策して欲しいところだ。記事では「対応としてアドバイザリーでは、信頼できないJavaアプリケーションは走らせないこと、としている」と書いてあった。