In den meisten Mobiltelefonen, die Sony Ericsson in den vergangenen zwei Jahren verkauft hat, klafft eine kritische Sicherheitslücke. Das zeigt eine Untersuchung des Technologie-Zentrum Informatik der Universität Bremen. Mögliche Angreifer können einen Trojaner installieren und erlangen dadurch den vollständigen Lese- und Schreibzugriff auf das interne Dateisystem der Handys. Dort befinden sich neben den Einstellungen für das Mobiltelefon und sicherheitskritischen Zertifikaten auch die persönlichen Nachrichten: SMS, MMS und E-Mails.
Wenn der Angreifer das Zertifikat ersetzt, kann er sich als Hersteller des Mobiltelefons ausgeben. Dadurch bekommt er Zugriff auf alle geschützten Funktionen, kann den Benutzer ausspionieren oder teure Premium-SMS auf seine Kosten versenden. Sein Opfer kann er auf Schritt und Tritt überwachen und ein komplettes Bewegungsprofil aufstellen, indem er den Telefonbesitzer mit der eingebauten Handy-Kamera beobachtet, über das Mikrofon belauscht sowie private Informationen aus dem Adressbuch, dem Terminkalender, SMS und E-Mails mitliest.
Das Schadprogramm kann getarnt als neue Handy-Anwendung oder Spiel auf das Mobiltelefon kommen, in denen bösartige Anweisungen versteckt sind. Wenn das sogenannte Trojanische Pferd installiert ist, müssen nur noch zwei harmlos wirkende Sicherheitsmeldungen bestätigt werden, die auch bei vertrauenswürdigen Anwendungen angezeigt werden. Der Benutzer kann also nicht zwischen bösartiger und ungefährlicher Software unterscheiden. Genauso wie bei PCs müssen auch die Benutzer von Mobiltelefonen immer darauf achten, ihre Software nur aus vertrauenswürdigen Quellen zu beziehen. Betroffen von der Sicherheitslücke ist ein Großteil der Mobiltelefone von Sony Ericsson, die in den Jahren 2005 bis 2007 verkauft wurden. Die Universität hat den Gerätehersteller über das Sicherheitsproblem informiert.