一名波兰安全研究员，宣称已找到移动Java的多个瑕疵，但他要求2万欧元的赏金，才愿意提供完整的细节资料。

Security Explorations创始人兼首席执行官Adam Gowdiak个人网站上写道，他已经制作了两组概念验证码（总长超过1.4万行），足以攻击那些影响Sun与诺基亚在其产品中使用移动Java（简称J2ME）执行的弱点。他把自己178页报告的前几页公布在网站上，但要求诺基亚或Sun付给他2万欧元后，才提供其余的内容。

Gowdiak表示，他采取这种方式是为了在波兰创设一个先进的安全研究中心筹资。他写道：比起向（创投）公司乞求资金，这是更好的方法。他的总筹资目标为100万欧元。

根据其网站上的自传，Gowdiak似乎也曾是Sun的员工。

这份研究报告似乎包括如何黑入诺基亚Nokia Series 40手机，和恶意锁定如电话资料、SMS发送、语音及视频记录、通讯录访问和SIM卡访问等功能的信息。根据Gowdiak说法，攻击者可以拨出电话、连上互联网，或读写手机中存储的档案。

Gowdiak以声明表示：Security Explorations成功地证明了Sun在最新版的Java Wireless Tollkit所使用的移动Java技术，确实存在被发现的瑕疵。他说攻击者只需要目标手机的电话号码，就能未授权进入被锁定的诺基亚装置。

Gowdiak表示，他要求研究报酬的非寻常举动，有助于维持我们研究行为的自由。在Security Explorations网站的问答集中，宣称不担心因此招来诉讼，因为如果特定的软件商宁愿把钱送给律师，而不愿付给改善他们产品安全的人，我们也无可奈何。

Sun或诺基亚都没有针对Gowdiak的要求作出回应。找到软件弱点的安全研究员目前有两个出售成果的渠道：TippingPoint通过其成立的Zero Day Initiative（零时差方案），提供赏金给通报弱点的研究员。而VeriSign的iDefense Vulnerability Contributor Program（弱点贡献者方案），对于已充分研究、高影响的弱点，最高奖金达1.5万美元。

（责任编辑：A6）