一名波兰的安全研究员，宣称已找到行动Java的多个瑕疵，但他要求2万欧元的赏金，才愿意提供完整的细节资料。

Security Explorations创办人兼执行长Adam Gowdiak在个人的网站上写道，他已经制作了两组概念验证码（总长超过1.4万行），足以攻击那些影响昇阳与诺基亚在其产品中使用之行动Java（简称J2ME）执的弱点。他把自己178页报告的前几页公布在网站上，但要求诺基亚或昇阳付给他2万欧元后，才提供其余的内容。

Gowdiak表示，他采取这种方式是为了在波兰创设一个先进的安全研究中心筹资。他写道：“比起向（创投）公司乞求资金，这是更好的方法。”他的总筹资目标为100万欧元。

根据其网站上的自传，Gowdiak似乎也曾是昇阳公司的员工。

这份研究报告似乎包括如何骇入诺基亚Nokia Series 40手机，和恶意锁定如电话资料、SMS发送、语音及影片记录、通讯录存取和SIM卡存取等功能的资讯。根据Gowdiak的说法，攻击者可以拨出电话、连上网际网路，或读写手机中储存的档案。

Gowdiak以声明表示：“Security Explorations成功地证明了昇阳在最新版的Java Wireless Tollkit所使用的行动Java技术，确实存在被发现的瑕疵。”他说攻击者只需要目标手机的电话号码，就能未授权进入被锁定的诺基亚装置。

Gowdiak表示，他要求研究报酬的非寻常举动，有助于维持我们研究行为的自由。 在Security Explorations网站的问答集中，该公司宣称不担心因此招来诉讼，因为如果特定的软体商宁愿把钱送给律师，而不愿付给改善他们产品安全的人，我们也无可奈何。

昇阳或诺基亚在12日都没有针对Gowdiak的要求作出回应。找到软体弱点的安全研究员目前有两个出售成果的管道：TippingPoint透过其成立的Zero Day Initiative（零时差方案），提供赏金给通报弱点的研究员。而VeriSign的iDefense Vulnerability Contributor Program（弱点贡献者方案），对于已充分研究、高影响的弱点，最高奖金达1.5万美元。

（责任编辑：A7）