设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 其他 笔记 查看内容

全球最安全手机Blackphone的安全问题和漏洞详解

2014-9-10 13:53| 发布者: 随便、先森。| 查看: 1495| 评论: 0

摘要: Blackphone,这个载体独立和供应商独立的智能手机,是以存放隐私和让用户拥有直属的权限为目标而被创造出来的,号称全球最安全手机。然而Bluebox安全团队在测试该手机时,发现并不是一无所获。 研究小组分析了该设备 ...

Blackphone,这个载体独立和供应商独立的智能手机,是以存放隐私和让用户拥有直属的权限为目标而被创造出来的,号称全球最安全手机。然而Bluebox安全团队在测试该手机时,发现并不是一无所获。

blackphone.jpg

研究小组分析了该设备中版本为1.02的PrivatOS,这个系统是以安卓系统为基础进行封装的。其中,它预装了一套确保私密的程序,如Silent Circle的无声电话,无声文字,以及为安全呼出机制,文字消息,和联系人存储提供的“无声联系”。而安全中心的应用,将允许用户控制应用的权限,这些已经被打造Blackphone的公司所实现(Silent Circle和Geeksphone)。

这款手机安装了一些第三方应用,如“断开安全无线”应用,它会创建一个VPN连接到Disconnect.me(Blackphone的合作伙伴)的服务器上。除此之外,还有一个特殊的应用,Blackphone版本的在线备份工具SpiderOak。

该小组发现了一批设备本身和应用程序上出现的问题。首先,目前该手机没办法单独更新应用程序,这在11月份之前都是一个亟待解决的问题。其次,手机缺乏关键的应用程序,譬如能打开pdf和word的office软件。这将迫使用户安装第三方应用或者使用其他实际上不受信的方法,因为开发商并没有给该手机提供一个下载可信软件的应用商店。

其中的一个意外的发现是,这些应用的漏洞被披露出了一部分。研究人员在一篇博客中写道

“具体来讲,我们发现,当你登录到手机的核心应用(Silent Circle应用、安全无线以及SpiderOak)的后台服务中去后”,这些应用会泄露账户名和密码给任何SSL服务器。我们之所以能意识到这点,是因为我们在设备上进行中间人攻击并且安装上了我们自己的SSL根证书。”

“这种类型的中间人攻击,可以通过SSL植入应用程序来减轻危害,”他们指出并补充道,其他应用程序也可能泄露信息。

该小组还发现150个以上的预装根证书放到系统存储时可能会出现问题。

“这意味着你的设备对相当多的认证投放了信任,而其中一些并不能让你放心”,他们说,举一个特殊的认证为例,“政府的根证书就是那样。”

它们可以被禁用,但这确实是一个繁琐的工作,都需要手工来完成。幸运的是,Blackphone的开发者已经对这个名单进行公开,并与Bluebox的研究人员合作,预计在未来会更新这些内容。

Blackphone的开发商在推出1.03版的PrivatOS仅仅十一天后,就被告知SilentCircle里面存在漏洞。这不是第一次对该手机的隐私性进行测试。上个月在DEF CON,Applied Cybersecurity的CTO,Jon Sawyer,发现了手机的一些漏洞,其中一些漏洞在设备初始版本的固件上。与此同时,在有记录的时间里,漏洞已经被打上了补丁。

如上文所述,尽管如用户期待的那样,Blackphone开发人员明白研究人员最终可能会发现设备和软件的漏洞。但他们实际上希望的是,漏洞的测试大牛们会将设备测试的结果分享给大众。

开发商的最终目的,是比其他OEM更快地给发现的漏洞打上补丁–无论是公司自己还是其他人找到问题后,都会尽快解决。



参考信息来源net-security.org



鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部