全球最安全手机Blackphone的安全问题和漏洞详解

  • A+
所属分类:移动安全

Blackphone,这个载体独立和供应商独立的智能手机,是以存放隐私和让用户拥有直属的权限为目标而被创造出来的,号称全球最安全手机。然而Bluebox安全团队在测试该手机时,发现并不是一无所获。

全球最安全手机Blackphone的安全问题和漏洞详解

研究小组分析了该设备中版本为1.02的PrivatOS,这个系统是以安卓系统为基础进行封装的。其中,它预装了一套确保私密的程序,如Silent Circle的无声电话,无声文字,以及为安全呼出机制,文字消息,和联系人存储提供的“无声联系”。而安全中心的应用,将允许用户控制应用的权限,这些已经被打造Blackphone的公司所实现(Silent Circle和Geeksphone)。

这款手机安装了一些第三方应用,如“断开安全无线”应用,它会创建一个VPN连接到Disconnect.me(Blackphone的合作伙伴)的服务器上。除此之外,还有一个特殊的应用,Blackphone版本的在线备份工具SpiderOak。

该小组发现了一批设备本身和应用程序上出现的问题。首先,目前该手机没办法单独更新应用程序,这在11月份之前都是一个亟待解决的问题。其次,手机缺乏关键的应用程序,譬如能打开pdf和word的office软件。这将迫使用户安装第三方应用或者使用其他实际上不受信的方法,因为开发商并没有给该手机提供一个下载可信软件的应用商店。

其中的一个意外的发现是,这些应用的漏洞被披露出了一部分。研究人员在一篇博客中写道

“具体来讲,我们发现,当你登录到手机的核心应用(Silent Circle应用、安全无线以及SpiderOak)的后台服务中去后”,这些应用会泄露账户名和密码给任何SSL服务器。我们之所以能意识到这点,是因为我们在设备上进行中间人攻击并且安装上了我们自己的SSL根证书。”

“这种类型的中间人攻击,可以通过SSL植入应用程序来减轻危害,”他们指出并补充道,其他应用程序也可能泄露信息。

该小组还发现150个以上的预装根证书放到系统存储时可能会出现问题。

“这意味着你的设备对相当多的认证投放了信任,而其中一些并不能让你放心”,他们说,举一个特殊的认证为例,“政府的根证书就是那样。”

它们可以被禁用,但这确实是一个繁琐的工作,都需要手工来完成。幸运的是,Blackphone的开发者已经对这个名单进行公开,并与Bluebox的研究人员合作,预计在未来会更新这些内容。

Blackphone的开发商在推出1.03版的PrivatOS仅仅十一天后,就被告知SilentCircle里面存在漏洞。这不是第一次对该手机的隐私性进行测试。上个月在DEF CON,Applied Cybersecurity的CTO,Jon Sawyer,发现了手机的一些漏洞,其中一些漏洞在设备初始版本的固件上。与此同时,在有记录的时间里,漏洞已经被打上了补丁。

如上文所述,尽管如用户期待的那样,Blackphone开发人员明白研究人员最终可能会发现设备和软件的漏洞。但他们实际上希望的是,漏洞的测试大牛们会将设备测试的结果分享给大众。

开发商的最终目的,是比其他OEM更快地给发现的漏洞打上补丁–无论是公司自己还是其他人找到问题后,都会尽快解决。

全球最安全手机Blackphone的安全问题和漏洞详解

[参考信息来源net-security.org,译/FreeBuf实习小编dawner]

相关阅读 - 全球最安全手机Blackphone五分钟遭破解

之前FreeBuf有报道过关于全球最安全手机Blackphone的新闻(http://www.freebuf.com/articles/terminal/37495.html但是据北京时间8月11日消息,在日前举行的BlackHat 2014黑帽安全大会上,黑客团队TeamAndIRC小组仅用5分钟就将“全球最安全手机”BlackPhone成功破解,获取root权限(系统最高权限)。更多内容>>

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: