一名波兰安全研究员,宣称已找到移动Java的多个瑕疵,但他要求2万欧元的赏金,才愿意提供完整的细节资料.Security Explorations创始人兼首席执行官Adam Gowdiak个人网站上写道,他已经制作了两组概念验证码(总长超过1.4万行),足以攻击那些影响Sun与诺基亚在其产品中使用移动Java(简称 J2ME)执行的弱点.他把自己178页报告的前几页公布在网站上,但要求诺基亚或Sun付给他2万欧元后,才提供其余的内容.
Gowdiak表示,他采取这种方式是为了在波兰创设一个先进的安全研究中心筹资.他写道:比起向(创投)公司乞求资金,这是更好的方法.他的总筹资目标为100万欧元.
根据其网站上的自传,Gowdiak似乎也曾是Sun的员工.
这份研究报告似乎包括如何黑入诺基亚Nokia Series 40手机,和恶意锁定如电话资料、SMS发送、语音及视频记录、通讯录访问和SIM卡访问等功能的信息.根据Gowdiak说法,攻击者可以拨出电话、连上互联网,或读写手机中存储的档案.
Gowdiak以声明表示:Security Explorations成功地证明了Sun在最新版的Java Wireless Tollkit所使用的移动Java技术,确实存在被发现的瑕疵.他说攻击者只需要目标手机的电话号码,就能未授权进入被锁定的诺基亚装置.
Gowdiak表示,他要求研究报酬的非寻常举动,有助于维持我们研究行为的自由.在Security Explorations网站的问答集中,宣称不担心因此招来诉讼,因为如果特定的软件商宁愿把钱送给律师,而不愿付给改善他们产品安全的人,我们也无可奈何.
Sun或诺基亚都没有针对Gowdiak的要求作出回应.找到软件弱点的安全研究员目前有两个出售成果的渠道:TippingPoint通过其成立的Zero Day Initiative(零时差方案),提供赏金给通报弱点的研究员.而VeriSign的iDefense Vulnerability Contributor Program(弱点贡献者方案),对于已充分研究、高影响的弱点,最高奖金达1.5万美元.