最近有安全研究者发现了BlackPhone中一个漏洞,该漏洞允许攻击者解密用户信息、窃取通讯录并控制设备的重要功能,而这些重要功能是为了更好地防护他人的嗅探监听。 什么是BlackPhone? BlackPhone号称是全球最安全的手机,是在斯诺登事件后推出的以保护隐私为目标的手机。它采用定制版安卓系统,并且使用Silent Circle加密即时通讯应用,Spider Oak 加密数据存储,并且具备反追踪和反wifi嗅探等功能。 来自澳大利亚Azimuth安全公司的Mark Dowd指出,黑客们只需获得用户的Silent Circle ID或者电话号码就可远程利用这个漏洞。攻击者可偷偷地解密并阅读信息、读取通讯录、监控电话的地理位置信息、向手机的外部存储中编写代码或文本,并且列举存储在设备上的账户。他将该漏洞报告之后,BlackPhone修复了这个漏洞。 该漏洞存在SilentText中。SilentText是与BlackPhone捆绑在一起的安全文本信息应用程序,它是Google Play中的一款免费安卓app。一个名为libscimp的组件包含一种内存破坏漏洞,后者是某种类型的混淆漏洞。Libscimp是BlackPhone对Silent Circle即时通讯协议(SCIMP)的执行,并且在可扩展消息在线协议(XMPP)顶层运行。SCIMP用于创建发送文本信息人们之间的安全端对端信道。它会处理通过信道的加密数据传输。 幸运的是,官方已经帮用户修复了这个漏洞。但是这件事告诉我们,无论厂商吹嘘使用了多么高级别的防护,没有一个设备是绝对安全的。 原文链接:http://news.hitb.org/content/mark-dowd-finds-bug-ultra-secure-blackphone-lets-attackers-stalk-users |