Wie es in einer Mitteilung der Universität Bremen heißt, soll die Lücke es ermöglichen, vollständigen Lese- und Schreibzugriff auf das interne Dateisystem der Mobiltelefone zu erlangen. Dort finden sich nicht nur sämtliche Benutzerdaten, sondern auch sicherheitskritische Zertifikate.
Ersetzt ein Angreifer ein dort gespeichertes Zertifikat durch sein eigenes, kann er sich als Hersteller des Mobiltelefons ausgeben und erhält damit alle Zugriffsrechte. Damit ist es dann möglich, unbemerkt Premium-SMS und -MMS zu versenden, Adressbuch, Terminkalender und Nachrichten auszulesen oder ein Bewegungsprofil des Nutzers zu erstellen.
Einen entsprechenden Trojaner kann sich zuziehen, wer Anwendungen oder Spiele auf das Telefon lädt, die bösartigen Code enthalten. Bei der Installation sind lediglich zwei Sicherheitsmeldungen zu bestätigen, die aber auch bei der Installation seriöser Software zu sehen sind.
Sony Ericsson sei bereits benachrichtigt, heißt es in der Mitteilung weiter. Bis Firmware-Updates für die betroffenen Mobiltelefone bereit stehen, empfiehlt es sich, Software, wenn überhaupt, nur von seriösen Anbietern zu beziehen und zu installieren.
