Connected Limited Device Configuration


Die CLDC arbeitet mit der stark eingeschränkten Kilobyte Virtual Maschine (KVM), die sich mit sehr wenig Speicher begnügt. Als minimale Voraussetzung für CLDC 1.0 gibt Sun 128 KB ROM und nur 32 KB RAM an.

Die KVM besitzt aufgrund der beschränkten Hardwarefähigkeiten keinen echten Bytes Code Veryfier, welcher bei den Standard- und Enterprise Editions zur Laufzeit dafür sorgt, dass nur Code ausgeführt werden kann der sich an die Sicherheitsrichtlinien hält.

Statt der KVM übernimmt die Überprüfung des kompilierten Java Codes hier der Entwicklungs-Rechner, welcher den Code mit speziellen “Stack-Map-Attributen” als ungefährlich markiert, bevor die Klassen auf das Zielgerät übertragen werden. Das Hinzufügen der„Stack-Map-Attribute“ lässt die Größe der kompilierten Klassen um etwa 5% anwachsen.

Die KVM prüft lediglich ob die Klassen vorschriftsgemäß verifiziert wurden, die rechenaufwändige Überprüfung des Bytecodes wird somit eingespart.

Durch dieses Vorgehen werden zwar Ressourcen des Endgeräts eingespart und die Performance erhöht, jedoch wird das Sicherheitskonzept von Java durchbrochen. Man sollte als Anwender also unbedingt darauf achten, Midlets nur aus vertrauenswürdigen Quellen zu installieren. Wegen der fehlenden Bytecodeüberprüfung kann ein Angreifer versuchen, der KVM Bytecode unterzuschieben, der durch die Umgehung der Sicherheitsschecks selbige zum Absturz bringt und das ausführen von eigenem Code ermöglicht.

Dass dies kein theoretisches Problem ist, zeigte der polnische Sicherheitsexperte Adam Gowdiak auf der Konferenz “Hack in the Box” im November 2004 mit seinem Exploit auf einem Nokia 6310i. Ihm ist es gelungen, eigenen Bytecode so zu manipulieren dass ihn die KVM als geprüft akzeptiert und ausführt. Dadurch fand er einen Weg, um direkt auf den Hauptspeicher des Geräts zuzugreifen und damit Systemfunktionen außerhalb der KVM zu nutzen und zu verändern.

Sicherheitslücken und Viren sind auf mobilen Endgeräten eine besonders Brisant, da hier sehr leicht hohe Kosten für den Inhaber des betroffenen Gerätes entstehen können, z. B. durch den Versand von SMS, MMS, das tätigen von Anrufen auf kostenpflichtige Servicenummern ( 0190 etc.). Die von Gowdiak entdeckte Sicherheitslücke wurde bereits von SUN durch eine neue Version der Java – Umgebung behoben und an die Hersteller ausgeliefert, jedoch sind Mobiltelefone ohne ein entsprechendes Firmwareupdate weiterhin angreifbar.

Weiter zu Teil 2 – Die Hardwareanforderungen der CLDC 1.0



Ähnliche Artikel zu "Connected Limited Device Configuration":


Wenn Du noch Fragen zum Thema Connected Limited Device Configuration hast, dann schreib einfach einen Kommentar - oder schau dir meine Buchtipps an:

One Response to “Connected Limited Device Configuration”

  1. Steffen Schuler Says:

    Hi! Besteht die Möglichhkeit,sich die Diplomarbeit (einschlisslich der fehlenden Kapitel) anzusehen? Ich bin gerade dabei zu überlgen, ob nicht die Notwendigkeit besteht weitere BT Profile zu implementieren… ist die Anwendung OpenSource? Bzw. gibt es die Möglichkeit diese auszuprobieren?

    Grüße aus Bonn,

    Steffen

Wie ist DEINE Meinung zum Thema Connected Limited Device Configuration?

Schreib sie einfach als Kommentar:




karbacher.org © Connected Limited Device Configuration