压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　Blackphone，這個載體獨立和供應(yīng)商獨立的智能手機(jī)，是以存放隱私和讓用戶擁有直屬的權(quán)限為目標(biāo)而被創(chuàng)造出來的，號稱全球最安全手機(jī)。然而Bluebox安全團(tuán)隊在測試該手機(jī)時，發(fā)現(xiàn)并不是一無所獲。

　　研究小組分析了該設(shè)備中版本為1.02的PrivatOS，這個系統(tǒng)是以安卓系統(tǒng)為基礎(chǔ)進(jìn)行封裝的。其中，它預(yù)裝了一套確保私密的程序，如Silent Circle的無聲電話，無聲文字，以及為安全呼出機(jī)制，文字消息，和聯(lián)系人存儲提供的“無聲聯(lián)系”。而安全中心的應(yīng)用，將允許用戶控制應(yīng)用的權(quán)限，這些已經(jīng)被打造Blackphone的公司所實現(xiàn)（Silent Circle和Geeksphone）。

　　這款手機(jī)安裝了一些第三方應(yīng)用，如“斷開安全無線”應(yīng)用，它會創(chuàng)建一個VPN連接到Disconnect.me（Blackphone的合作伙伴）的服務(wù)器上。除此之外，還有一個特殊的應(yīng)用，Blackphone版本的在線備份工具SpiderOak。

　　該小組發(fā)現(xiàn)了一批設(shè)備本身和應(yīng)用程序上出現(xiàn)的問題。首先，目前該手機(jī)沒辦法單獨更新應(yīng)用程序，這在11月份之前都是一個亟待解決的問題。其次，手機(jī)缺乏關(guān)鍵的應(yīng)用程序，譬如能打開pdf和word的office軟件。這將迫使用戶安裝第三方應(yīng)用或者使用其他實際上不受信的方法，因為開發(fā)商并沒有給該手機(jī)提供一個下載可信軟件的應(yīng)用商店。

　　其中的一個意外的發(fā)現(xiàn)是，這些應(yīng)用的漏洞被披露出了一部分。研究人員在一篇博客中寫道。

　　“具體來講，我們發(fā)現(xiàn)，當(dāng)你登錄到手機(jī)的核心應(yīng)用（Silent Circle應(yīng)用、安全無線以及SpiderOak）的后臺服務(wù)中去后”，這些應(yīng)用會泄露賬戶名和密碼給任何SSL服務(wù)器。我們之所以能意識到這點，是因為我們在設(shè)備上進(jìn)行中間人攻擊并且安裝上了我們自己的SSL根證書。”

　　“這種類型的中間人攻擊，可以通過SSL植入應(yīng)用程序來減輕危害，”他們指出并補(bǔ)充道，其他應(yīng)用程序也可能泄露信息。

　　該小組還發(fā)現(xiàn)150個以上的預(yù)裝根證書放到系統(tǒng)存儲時可能會出現(xiàn)問題。

　　“這意味著你的設(shè)備對相當(dāng)多的認(rèn)證投放了信任，而其中一些并不能讓你放心”，他們說，舉一個特殊的認(rèn)證為例，“政府的根證書就是那樣。”

　　它們可以被禁用，但這確實是一個繁瑣的工作，都需要手工來完成。幸運(yùn)的是，Blackphone的開發(fā)者已經(jīng)對這個名單進(jìn)行公開，并與Bluebox的研究人員合作，預(yù)計在未來會更新這些內(nèi)容。

　　Blackphone的開發(fā)商在推出1.03版的PrivatOS僅僅十一天后，就被告知SilentCircle里面存在漏洞。這不是第一次對該手機(jī)的隱私性進(jìn)行測試。上個月在DEF CON，Applied Cybersecurity的CTO，Jon Sawyer，發(fā)現(xiàn)了手機(jī)的一些漏洞，其中一些漏洞在設(shè)備初始版本的固件上。與此同時，在有記錄的時間里，漏洞已經(jīng)被打上了補(bǔ)丁。

　　如上文所述，盡管如用戶期待的那樣，Blackphone開發(fā)人員明白研究人員最終可能會發(fā)現(xiàn)設(shè)備和軟件的漏洞。但他們實際上希望的是，漏洞的測試大牛們會將設(shè)備測試的結(jié)果分享給大眾。

　　開發(fā)商的最終目的，是比其他OEM更快地給發(fā)現(xiàn)的漏洞打上補(bǔ)丁–無論是公司自己還是其他人找到問題后，都會盡快解決。