Mobilsiden.dk  /   Nyhedsoversigt  /   Alvorlig sikkerhedsbrist fundet i Blackphone

Alvorlig sikkerhedsbrist fundet i Blackphone

Alvorlig sikkerhedsbrist i den ultra-sikre Blackphone er fundet, og lukket relativt hurtigt.

Den aflytnings sikre Blackphone købes af folk for at give dem en sikker fornemmelse af, at ingen uvedkommende kan se hvad der foregår på telefonen. Denne tiltro var - i hvert fald indtil for nyligt - malplaceret ifølge sikkerhedsekspert Mark Dowd.

Han udsatte sin egen Blackphone for en række angreb og fandt en noget alvorlig sårbarhed i applikationen som styrer tekst beskederne. Angribere kunne stjæle beskeder, kontakter og lokations information samt endda eksekvere ondsindet kode for at opnå fuld kontrol over telefonen. En angriber skulle blot kende enhedens “SilentCircle” ID eller telefonnummer.

På hans blog fortæller han hvordan sårbarheden kunne udnyttes ved at overskrive en del af hukommelsen og erstatte det med ondsindet kode, en såkaldt Type Confusion Vulnerability. Dowd har dog været i kontakt med producenterne af Blackphone og de har allerede udsendt en patch der lukker hullet.

Det er dog vand på møllen hos de tvivlere som mener at sikkerhed i Android er et oxymoron, samt en vigtig påmindelse om, at kryptering betyder meget lidt, hvis den ene ende er kompromitteret. Blackphone gør rigtig meget rigtigt, men med så kompleks software er der tydeligvis ingen garanti for at man ikke kan blive hacket. Hullet er som nævnt lukket nu og Blackphone markedsfører fortsat sig selv som at “adressere moderne bekymringer om privatliv.”

Kilde: Engadget

Forrige artikel Næste artikel

Få notikationer:

Læs Mobilsidens debatregler her


Kommentar

N 01-02-2015 11:53:14

Hvis man endnu engang skal rode rundt i sikkerhed, hvad så med at fortsætte den blog i referere til? Der er der så vidt jeg kan se også problemer med andre OS. Og er vi så ikke tilbage til at der er intet der er 100% sikkert? Jeg kan godt se det komiske i at en mobil der skulle være sikkerheden selv, måske ikke er det. Men umiddelbart er det jo ikke noget man kan klandre Android for.

2 1
Thomas Larsen 31-01-2015 17:46:28

Så nu gengiver i ikke bare nyheder, men også de medfølgende kommentarer som folk har på dem.

Mobilsiden.dk og nyhedssite er vist det eneste oxymoron her. :)

2 6
Johannes Aagaard 01-02-2015 10:48:47

Så længe interessante nyheder i andre medier behandles redaktionelt af Mobilsiden.dk, så er dette da langt mere interessant og givende, end hvad stort set alle andre nyhedsmedier praktiserer, når de 90 procent af tiden leverer afskrifter fra deres nyhedsabonnementer hos Reuters/Ritzau.

1 0
Thomas Larsen 01-02-2015 11:03:24

I denne tech verden er det begrænset hvor meget du har behov for Reuters eller Ritzau, nyheder inden for dette felt er ikke noget du behøves at sende folk fysisk ud til for at undersøge.

I det her tilfælde kan du se fra siden de har sakset historien fra at det originale materiale er fra: http://blog.azimuthsecurity.com/2015/01/blackpwn-blackphone-silenttext-type.html så kan man tage udgangspunkt i det der står på siden, og ignorere det der står på Engadget.

Men hvis det er kan vi ikke så kalde det "Gode fortællinger fra nettet oversat af Mobilsiden.dk" i stedet for "Nyheder"?

2 2
Andreas Birkjær 01-02-2015 08:53:59

Hehe :)

Hvis jeg finder kommentaren interessant og valid, ser jeg ingen grund til ikke at inkludere den i vores gengivelse. Det gør vel ikke artiklen mindre "nyhedsværdig"? :)

4 1
Thomas Larsen 01-02-2015 10:56:20

Jo, nyheder er ikke ment til at inkludere skribentens personlige holdninger vedrørende emnet.

Men hvad gør kommentaren interessant og valid?

Den har intet med nyheden at gøre, da det hverken er et sikkerhedshul i Android eller Blackphone versionen heraf, men en applikation de bundler med enheden.

Er det fordi det er interessant at betragte andre folk har forkerte betragtelser om sikkerheden I Android? I såfald er det du kun med til at videreføre dette, hvilket da burde stride mod alt der har med nyheder eller journalistik at gøre.

2 1
Andreas Birkjær 01-02-2015 11:26:11

Netop det faktum at SilentCircle bundler applikationen med enheden og står inde for sikkerheden, gør da at et sikkerhedsproblem falder tilbage på dem.
Jeg mener bestemt det har noget med Blackphone at gøre.

Jeg skal ikke gøre mig til dommer over andres betragtelser af sikkerheden i Android, men hvis man er interesseret i en Blackphone er det formentlig fordi man tager det en smule seriøst at man ikke ønsker at bliver aflyttet - netop det at Blackphone bygger på Android var en af de anker som mange havde dengang de præsenterede deres telefon, derfor fandt jeg det interessant at påpege.

Jeg er af den opfattelse, at hvis man virkelig ikke ønsker at blive aflyttet eller er meget bekymret for sine oplysninger, så skal man ganske enkelt ikke have en smartphone, jeg byder initiativer som Blackphone velkommen, om ikke andet så for at sætte en debat i gang omkring sikkerhed.

Jeg håber det besvarer spørgsmålet.

1 1
Thomas Larsen 01-02-2015 11:48:45

Skrev heller ikke det ikke var Blackphone's problem, jeg skrev bare det ikke var sikkerhedsproblem i Android eller deres version af det.

Jeg synes ikke dog ikke det kommer til orde at du forsøger at påpege mange folk havde anker mod Android sikkerhed i forbindelse med Blackphone da det blev lanceret, du skriver bare at det forstærker tvivlernes tro i at Android og sikkerhed er to modsætninger, hvilket også er rigtigt nok, (at tvivlerne's tro forstærkes) men jeg tror ikke den bliver mindre af at du nævner det.

Og du giver ikke udtryk i nyheden for din mening om hvorvidt man bør have en smartphone eller ej hvis man er fokuseret på sikkerhed og privatlives fred, du skriver blot at det rigtigt nok er et advanceret system der er tale om, og jo mere advanceret et system er, jo større chance for brister, hvilket er fint nok at påpege :)

1 1
Andreas Birkjær 01-02-2015 12:05:18

Jeg forstår.

Både du og N har jo ret i, at det ikke er Android som skal stå på mål (direkte).

Men omvendt syntes jeg ikke man kan lade være med at lade Android skinne igennem når nu det er denne platform SilentCircle har valgt at bruge som fundament - forstærket med den tvivl der blev sået da de oprindeligt lancerede telefonen om netop valget af Android som platform.

2 0

Om brug af cookies