Alvorlig sikkerhedsbrist fundet i Blackphone

Alvorlig sikkerhedsbrist i den ultra-sikre Blackphone er fundet, og lukket relativt hurtigt.

Alvorlig sikkerhedsbrist fundet i Blackphone

Den aflytnings sikre Blackphone købes af folk for at give dem en sikker fornemmelse af, at ingen uvedkommende kan se hvad der foregår på telefonen. Denne tiltro var – i hvert fald indtil for nyligt – malplaceret ifølge sikkerhedsekspert Mark Dowd.

Han udsatte sin egen Blackphone for en række angreb og fandt en noget alvorlig sårbarhed i applikationen som styrer tekst beskederne. Angribere kunne stjæle beskeder, kontakter og lokations information samt endda eksekvere ondsindet kode for at opnå fuld kontrol over telefonen. En angriber skulle blot kende enhedens “SilentCircle” ID eller telefonnummer.

På hans blog fortæller han hvordan sårbarheden kunne udnyttes ved at overskrive en del af hukommelsen og erstatte det med ondsindet kode, en såkaldt Type Confusion Vulnerability. Dowd har dog været i kontakt med producenterne af Blackphone og de har allerede udsendt en patch der lukker hullet.

Det er dog vand på møllen hos de tvivlere som mener at sikkerhed i Android er et oxymoron, samt en vigtig påmindelse om, at kryptering betyder meget lidt, hvis den ene ende er kompromitteret. Blackphone gør rigtig meget rigtigt, men med så kompleks software er der tydeligvis ingen garanti for at man ikke kan blive hacket. Hullet er som nævnt lukket nu og Blackphone markedsfører fortsat sig selv som at “adressere moderne bekymringer om privatliv.”

Kilde: Engadget