Odkrita ranljivost v Nokia Series60 mobilnih telefonih

Nemški raziskovalec Tobias Engel je novembra lansko leto odkril ranljivost v telefonih Nokia Series60, ranljivost pa je bila prikazana tudi na decembrski CCC konferenci v Berlinu. Ranljivost je poimenoval Curse Of Silence.

Engel je odkril, da sprejem posebej prirejenega SMS ali MMS sporočila pri ranljivih mobilnih telefonih sproži napako zaradi katere le-ti ne morejo več sprejemati novih SMS sporočil oziroma je pri nekaterih modelih mobilnih telefonov sprejemanje SMS sporočil moteno. Pomaga šele resetiranje telefona na tovarniške nastavitve.

Seznam prizadetih telefonov: Nokia E90 Communicator, Nokia E71, Nokia E66, Nokia E51, Nokia N95 8GB, Nokia N95, Nokia N82, Nokia N81 8GB, Nokia N81, Nokia N76, Nokia 6290, Nokia 6124 classic, Nokia 6121 classic, Nokia 6120 classic, Nokia 6110 Navigator, Nokia 5700 XpressMusic, Nokia E70, Nokia E65, Nokia E62, Nokia E61i, Nokia E61, Nokia E60, Nokia E50, Nokia N93i, Nokia N93, Nokia N92, Nokia N91 8GB, Nokia N91, Nokia N80, Nokia N77, Nokia N73, Nokia N71, Nokia 5500, Nokia 3250, Nokia N90, Nokia N72, Nokia N70, Nokia 6682, Nokia 6681, Nokia 6680 in Nokia 6630.

Po nekaterih podatkih slovenskih raziskovalcev pa so na podoben način ranljivi tudi nekateri starejši oz. zelo verjetno kar vsi telefoni znamke Nokia. Nokia je sicer za S60 mobilne telefone že izdala popravek SMS Cleaner.

Ker nas je zanimalo kako so s tovrstnimi težavami seznanjeni slovenski operaterji mobilnih komunikacij, smo jim poslali vprašanje ali za omenjeno napako vedo ter ali tovrstne zlonamerne SMS-e blokirajo.

Iz Debitela so najprej odgovorili, da za tovrstno napako ne vedo, nato pa so sporočili, da omenjenih težav niso zaznali ter nas za odgovor napotili na predstavnika Nokie. Pri Simobilu so z napako seznanjeni in uporabnikom, ki bi omenjene težave zaznali svetujejo, da se obrnejo na center za pomoč uporabnikom. Dodali so tudi, da "v kolikor bi se izkazalo, da zadeva predstavlja večje nevšečnosti za naše uporabnike, bomo temu primerno tudi ukrepali".

Iz Mobitela so odgovorili, da napako poznajo, uporabnikom pa v Mobitelovih centrih in e-trgovini ponujajo nakup protivirusne rešitve, ki nudi tudi zaščito pred COS. Iz Tušmobila pa so odgovorili da so o napaki obveščeni ter da je na njihovem omrežju je pošiljanje tovrstnih SMS sporočil onemogočeno. Ostali operaterji se na vprašanje niso odzvali.

Ker Zakon o elektronskem poslovanju na trgu v 9. členu določa, da ponudnik storitev ni odgovoren za poslane podatke, če ne sproži prenosa podatkov, ne izbere naslovnika in podatkov, ki jih prenaša, ne izbere ali spremeni, bi lahko sklepali, da so operaterji, ki podatke spreminjajo oz. blokirajo tudi neposredno odgovorni za vse težave in vso vsebino, ki jo prejmejo njihovi uporabniki. Prav tako Zakon o elektronskih komunikacijah v 103. členu opredeljuje zaupnost komunikacij in prepoveduje nezakonito prestrezanje.

Z vprašanji v zvezi s tem smo se obrnili na Agencijo za pošto in elektronske komunikacije, kjer pa so povedali, da se s pojavom tovrstnih zlonamernih SMS sporočil še niso srečali ter da nimajo podatkov o tem, če so slovenski mobilni operaterji seznanjeni glede tega uvedli kakšne tehnične ukrepe. Zato ne morejo podati mnenja o tem, ali so morebitni posegi operaterjev v omrežje v zvezi z navedenim problemom zakoniti. Glede odgovornosti ponudnikov storitev informacijske družbe za vsebino, pa APEK nima nobenih pristojnosti.

Mimogrede, pri Simobilu so poslali tudi PR sporočilo slovenskega predstavnika Nokie, kjer so zapisali da so bili o napaki obveščeni s strani Computer Chaos Cluba in ker pri Nokii varnosti posvečajo veliko pozornosti so takoj pričeli s temeljito preiskavo opisanega primera s pomočjo običajnih procedur in celovitega testiranja. Pohvalno, nenavadno je le, da napake s pomočjo običajnih procedur in celovitega testiranja niso odkrili že sami...