Adam Gowdiak, experto en temas de seguridad, ha encontrado 14 agujeros de seguridad en la implementación de Java ME de los Nokia serie 40. Algunos de estos agujeros pueden permitir al atacante instalar aplicaciones Java ME en el terminal atacado sin necesidad de autorización del usuario, y después realizar llamadas, enviar SMS o grabar vidrio o audio, entre otros.

Adam ha hecho llegar a Nokia información bastante limitada acerca de estos fallos. Pero pide 20.000 € a cambio de toda la información, dinero que dice es necesario para cubrir los gastos de la investigación que realizó para encontrar dichos fallos. Nokia ha reconocido que es cierto que existen estas vulnerabilidades y que permiten hacer lo que Adam afirma.

Al margen del grave problema de seguridad (los Nokia serie 40 son uno de los terminales móviles más extendidos) esta noticia pone de manifiesto una situación bastante polémica. Hay múltiples investigadores que se dedican a encontrar fallos de seguridad en software y que, en muchas ocasiones, no son debidamente recompensados por las compañías dueñas de los productos en los que se encontraron los fallos. A veces esta situación lleva a los investigadores a "convertirse al lado oscuro" y a vender los agujeros de seguridad a delincuentes que los quieren explotar con fines económicos y que, a diferencia de las compañías, si que están dispuestos a pagar por ellos.

Esta situación ha llevado incluso a crear un "Ebay" de agujeros de seguridad. En él, cualquiera (compañía, o delincuente) puede registrarse y comprar o vender vulnerabilidades. La compañía que está detrás de este "Ebay" afirma que lo que pretende es que se trate de modo justo a los investigadores que han dedicado mucho tiempo y esfuerzo a encontrar agujeros de seguridad y que se les compensa adecuadamente. Si bien el fin es encomendarle, también es cierto que este portal es una estupenda herramienta para los delincuentes.

¿Qué opináis acerca de esta situación?