Le Java, c'est bien ! - Page 1

Quelques failles de sécurité dans plein de téléphones Java, qui font que n'importe quelle applet innocente peut prendre le contrôle du téléphone... Le papier original contient tous les détails ^^

Question bête : est-ce qu'il y a des téléphones qui ont une MMU et un OS décent ? Parce que le modèle de sécurité Java est plutôt complexe à implémenter (donc risques de failles), et une sandbox minimale du genre de celle d'Unix/Windows NT devrait rattraper la majorité des problèmes...

En tout cas c assez flippant, vu le nb d'infos auquel on peut avoir accès : on peut enregistrer tous les appels, les sms, le carnet d'adresse, voire même à partir de la cellule GSM utilisée suivre tous les mouvements du tél 24h/24... Tout ça sans se faire remarquer (bien sûr, un appel internet peut se voir sur la facture, mais on peut imaginer d'autres moyens de récupérer ces infos : bluetooth, watermarks lors d'un appel...)

ouais enfin pour ça faut un tel qui supporte le java

Ben c le cas depuis un bon bout de tps sur les nokia, par exemple...

ça change pas beaucoup de la belle époque où on faisait planter les nokia en leur envoyant un sms composé de 160 points

Il y a quand même une légère différence entre faire planter un téléphone et espionner des communications.

J'en ai parlé à un copain qui a bossé chez quelques gros opérateurs, sur les dernières technologies portables, et il me dit qu'ils n'en ont rien à foutre de la sécurité. Tout ce qui les intéresse c'est de restreindre au maximum la plateforme pour empêcher les autres de faire des services qui coûtent moins cher.

Oué ben bien sûr, c encore la jungle (comme c en plein développement y a une très forte concurrence qui pousse à favoriser le court terme sur le long terme), jusqu'à ce qu'on trouve des exploits à distance, que ça commence à se répandre, que des fabricants d'antivirus viennent à la rescousse, que les gens commencent à y faire attention, et qu'enfin les éditeurs réagissent... Mais ce genre de trucs gagnerait franchement à être médiatisé (associations de consommateurs...) -- ça le sera sûrement tôt ou tard, mais le plus tôt serait le mieux...

Mais pourquoi ne voyez-vous que le côté néfaste? Si cette faille permet d'exécuter du code arbitraire, elle pourrait permettre d'avoir enfin des jeux en langage machine qui vont donc à une vitesse raisonnable. Ralala, comme les temps de ZShell et Fargo sont passés...

Moui, enfin tu as l'air d'oublier le côté connexion réseau de la chose... Ca veut dire que tu ne contrôles pas *qui* exécute du code arbitraire, ça veut dire aussi que vu la facilité du téléchargement le premier noob venu est très vulnérable (alors que pour s'acheter un câble et aller sur ticalc.org, faut déjà être motivé), ça veut dire que vu l'ampleur du marché y a pleins d'intérêts économiques (spammeurs, fabricants d'anti-virus, constructeurs concurrents... alors que sur TI, rien de tout ça), ça veut dire que les vers risquent de se développer très vite en cas de faille à distance, etc...

kevin: ce genre de choses a toujours été possible sans passer par ce genre de "failles"


sinon pour te répondre pollux:

Nokia, a pars les marqué symbian utilise apriori un os maisoin
Idem pour sony
SonyErricson par contre utilise Symbian pour les Pxx0 les T610 et dérivé et quelques autres portables, le reste est normalement du maison

La majorité des constructeurs fonctionnents sur un OS maison

apres reste les marginaux tel les Smartphone Windows qui eux utilise Windows CE et les treo qui fonctionnent avec palm Os mais bon c'est rare

Par contre (meme si il y a eu des proto) il est a noté qu'il n'existe pas de telephone "linux" (mais bon j'aurait peur avec un telephone linux :/ tu viens pour appeler pouf "kernel panic" )

Godzil
: Par contre (meme si il y a eu des proto) il est a noté qu'il n'existe pas de telephone "linux"

Si, Motorola en vend (mais pas encore en Europe il me semble)... ils marchent aussi bien que les autres vu que ce qu'ils mettent dedans c'est du Java.

-

Godzil :
sinon pour te répondre pollux:

Nokia, a pars les marqué symbian utilise apriori un os maisoin
Idem pour sony
SonyErricson par contre utilise Symbian pour les Pxx0 les T610 et dérivé et quelques autres portables, le reste est normalement du maison
La majorité des constructeurs fonctionnents sur un OS maison

Et ? Ca veut juste dire qu'il faut porter sous 2, 3 OS pour couvrir 80% du marché, mais la faille à exploiter est commune à tous les téléphones...

nitro
: Si, Motorola en vend (mais pas encore en Europe il me semble)... ils marchent aussi bien que les autres vu que ce qu'ils mettent dedans c'est du Java.

C'est un ucLinux ou un vrai Linux ?

Pollux
:

Godzil :
sinon pour te répondre pollux:

Nokia, a pars les marqué symbian utilise apriori un os maisoin
Idem pour sony
SonyErricson par contre utilise Symbian pour les Pxx0 les T610 et dérivé et quelques autres portables, le reste est normalement du maison
La majorité des constructeurs fonctionnents sur un OS maison

Et ? Ca veut juste dire qu'il faut porter sous 2, 3 OS pour couvrir 80% du marché, mais la faille à exploiter est commune à tous les téléphones...

Heu c'est toi qui demandait ce qu'il y avait comme OS hein !

et non 2/3 ne couvriron pas 80% du marché... la majorité sont des OS maison, mais bcp d'os maisons sont spécifique a un modele de telephone...

Ah OK je pensais que tu voulais dire que comme y avait plein d'OS on pourrait pas trouver une faille assez répandue ^^

Mais ma question était plutôt de savoir si dans les OS actuels, tous les threads ont tous les droits, ou bien s'il y a des protections... Déjà est-ce que c'est le cas pour PalmOS ou WinMobile, ou même pas ?

palmos et les threads ? humm

Sous WinCE ça dépend comment a été généré l'image, mais je crois effectivement qu'il n'y as pas de param de sécurité pour cette plateforme

plus ou moins HS, le nokia 3410 supporte le java. J'ai compilé un truc avec jbuilder sur l'émulateur fourni avec. Mais comment on l'envoie sur la bestiole? par le wap? Parce que le 3410 n'a ni bluetooth, ni irda.

Tu dois avoir le choix entre acheter un câble et passer par le WAP...

Godzil>

squalyl: wap il n'y a que ça
a moins que tu ai le cable pc -> tel

oué je vais tenter le wap. et le câble je me demande bien à quoi on le connecte vu qu'il y n'y a que deux connecteurs sur le 3410: le chargeur et l'oreillette

Pollux
:

nitro
: Si, Motorola en vend (mais pas encore en Europe il me semble)... ils marchent aussi bien que les autres vu que ce qu'ils mettent dedans c'est du Java.

C'est un ucLinux ou un vrai Linux ?

Je sais pas.

squalyl^2> Sur les sagem, le cable passe par le port chargeur (et on peut acheter un cable spécial sur lequel on peut brancher le chargeur, si on fait des trucs battery intensive)

Orion_ :
et les ecran bleu sur les smartphone ?

y'a pas d'écran bleus sous win mobile

De toute Java çà sux, il faut des OcamlPhones

espece de troll va

mais dans tout troll il y a une part de vérité, et particulièrement dans celui ci.