全球最安全手機Blackphone的安全問題和漏洞詳解
責編:admin |2014-09-10 15:02:30Blackphone,這個載體獨立和供應商獨立的智能手機,是以存放隱私和讓用戶擁有直屬的權限為目標而被創造出來的,號稱全球最安全手機。然而Bluebox安全團隊在測試該手機時,發現并不是一無所獲。
研究小組分析了該設備中版本為1.02的PrivatOS,這個系統是以安卓系統為基礎進行封裝的。其中,它預裝了一套確保私密的程序,如Silent Circle的無聲電話,無聲文字,以及為安全呼出機制,文字消息,和聯系人存儲提供的“無聲聯系”。而安全中心的應用,將允許用戶控制應用的權限,這些已經被打造Blackphone的公司所實現(Silent Circle和Geeksphone)。
這款手機安裝了一些第三方應用,如“斷開安全無線”應用,它會創建一個VPN連接到Disconnect.me(Blackphone的合作伙伴)的服務器上。除此之外,還有一個特殊的應用,Blackphone版本的在線備份工具SpiderOak。
該小組發現了一批設備本身和應用程序上出現的問題。首先,目前該手機沒辦法單獨更新應用程序,這在11月份之前都是一個亟待解決的問題。其次,手機缺乏關鍵的應用程序,譬如能打開pdf和word的office軟件。這將迫使用戶安裝第三方應用或者使用其他實際上不受信的方法,因為開發商并沒有給該手機提供一個下載可信軟件的應用商店。
其中的一個意外的發現是,這些應用的漏洞被披露出了一部分。研究人員在一篇博客中寫道。
“具體來講,我們發現,當你登錄到手機的核心應用(Silent Circle應用、安全無線以及SpiderOak)的后臺服務中去后”,這些應用會泄露賬戶名和密碼給任何SSL服務器。我們之所以能意識到這點,是因為我們在設備上進行中間人攻擊并且安裝上了我們自己的SSL根證書。”
“這種類型的中間人攻擊,可以通過SSL植入應用程序來減輕危害,”他們指出并補充道,其他應用程序也可能泄露信息。
該小組還發現150個以上的預裝根證書放到系統存儲時可能會出現問題。
“這意味著你的設備對相當多的認證投放了信任,而其中一些并不能讓你放心”,他們說,舉一個特殊的認證為例,“政府的根證書就是那樣。”
它們可以被禁用,但這確實是一個繁瑣的工作,都需要手工來完成。幸運的是,Blackphone的開發者已經對這個名單進行公開,并與Bluebox的研究人員合作,預計在未來會更新這些內容。
Blackphone的開發商在推出1.03版的PrivatOS僅僅十一天后,就被告知SilentCircle里面存在漏洞。這不是第一次對該手機的隱私性進行測試。上個月在DEF CON,Applied Cybersecurity的CTO,Jon Sawyer,發現了手機的一些漏洞,其中一些漏洞在設備初始版本的固件上。與此同時,在有記錄的時間里,漏洞已經被打上了補丁。
如上文所述,盡管如用戶期待的那樣,Blackphone開發人員明白研究人員最終可能會發現設備和軟件的漏洞。但他們實際上希望的是,漏洞的測試大牛們會將設備測試的結果分享給大眾。
開發商的最終目的,是比其他OEM更快地給發現的漏洞打上補丁–無論是公司自己還是其他人找到問題后,都會盡快解決。