Ahora que en Apple estan pensando la posibilidad de permitir aplicaciones firmadas para el iPhone, quizá deberían leer este artículo. Y es que se ha publicado el primer hack de la plataforma de seguridad de los Symbian S60 de la 3ª edición.
Explicación corta: modificas un fichero de una imagen de la ROM, actualizas el firmware del móvil y consigues poder añadir mas capacidades a los programas.
Explicación detallada. Con los últimos modelos de Symbian se estableció un sistema que exige que cualquier programa que necesite hacer determinadas cosas con el telefono (llamar, mandar un SMS, etc.) tenga que estar previamente examinado y comprobado por Symbian. Este metodo ha supuesto beneficios para la plataforma: no existen virus, perjudica a la pirateria o una mayor calidad y selección en los programas comerciales. También ofrece un lado negativo, ya que se perjudica a los pequeños programadores, a los creadores de open source y freeware, y se ralentiza la llegada al mercado de nuevos programas.
Los programadores disponen de herramientas en Symbian Signed para poder auto-firmar sus aplicaciones con unas determinadas capacidades ("capabilities"), como el conectar a la red, enviar un mensaje, etc. Pero hay otras funciones cuyo acceso requiere el permiso del fabricante: el acceso a las carpetas protegidas del teléfono o al contenido protegido por DRM, a los controladores del sistema operativo, entre otras. Sin estas capacidades es imposible crear por ejemplo un sniffer de red o un gestor de archivos que muestre todas las carpetas y ficheros.
En Symbaali, se ha publicado el proceso a seguir para modificar una imagen ROM del teléfono, cambiando solamente un archivo con un editor hexadecimal. Con la ROM modificada y utilizando el programa de actualización de firmware de Nokia, el móvil permite instalar aplicaciones con las capacidades protegidas.
El proceso es muy peligroso, podemos acabar con un ladrillo muy caro encima de la mesa, ya que depende del modelo de teléfono y de la concreta imagen ROM. No es un hack que vaya a tirar por tierra la plataforma de seguridad de Symbian, pero si compromete la solidez del método de firmas previas.
Via | Mobile Phone Development Enlace | Symbaali
Ver 1 comentarios