全球最安全手机Blackphone的安全问题和漏洞详解
Blackphone,这个载体独立和供应商独立的智能手机,是以存放隐私和让用户拥有直属的权限为目标而被创造出来的,号称全球最安全手机。然而Bluebox安全团队在测试该手机时,发现并不是一无所获。
研究小组分析了该设备中版本为1.02的PrivatOS,这个系统是以安卓系统为基础进行封装的。其中,它预装了一套确保私密的程序,如Silent Circle的无声电话,无声文字,以及为安全呼出机制,文字消息,和联系人存储提供的“无声联系”。而安全中心的应用,将允许用户控制应用的权限,这些已经被打造Blackphone的公司所实现(Silent Circle和Geeksphone)。
这款手机安装了一些第三方应用,如“断开安全无线”应用,它会创建一个VPN连接到Disconnect.me(Blackphone的合作伙伴)的服务器上。除此之外,还有一个特殊的应用,Blackphone版本的在线备份工具SpiderOak。
该小组发现了一批设备本身和应用程序上出现的问题。首先,目前该手机没办法单独更新应用程序,这在11月份之前都是一个亟待解决的问题。其次,手机缺乏关键的应用程序,譬如能打开pdf和word的office软件。这将迫使用户安装第三方应用或者使用其他实际上不受信的方法,因为开发商并没有给该手机提供一个下载可信软件的应用商店。
其中的一个意外的发现是,这些应用的漏洞被披露出了一部分。研究人员在一篇博客中写道。
“具体来讲,我们发现,当你登录到手机的核心应用(Silent Circle应用、安全无线以及SpiderOak)的后台服务中去后”,这些应用会泄露账户名和密码给任何SSL服务器。我们之所以能意识到这点,是因为我们在设备上进行中间人攻击并且安装上了我们自己的SSL根证书。”
“这种类型的中间人攻击,可以通过SSL植入应用程序来减轻危害,”他们指出并补充道,其他应用程序也可能泄露信息。
该小组还发现150个以上的预装根证书放到系统存储时可能会出现问题。
“这意味着你的设备对相当多的认证投放了信任,而其中一些并不能让你放心”,他们说,举一个特殊的认证为例,“政府的根证书就是那样。”
它们可以被禁用,但这确实是一个繁琐的工作,都需要手工来完成。幸运的是,Blackphone的开发者已经对这个名单进行公开,并与Bluebox的研究人员合作,预计在未来会更新这些内容。
Blackphone的开发商在推出1.03版的PrivatOS仅仅十一天后,就被告知SilentCircle里面存在漏洞。这不是第一次对该手机的隐私性进行测试。上个月在DEF CON,Applied Cybersecurity的CTO,Jon Sawyer,发现了手机的一些漏洞,其中一些漏洞在设备初始版本的固件上。与此同时,在有记录的时间里,漏洞已经被打上了补丁。
如上文所述,尽管如用户期待的那样,Blackphone开发人员明白研究人员最终可能会发现设备和软件的漏洞。但他们实际上希望的是,漏洞的测试大牛们会将设备测试的结果分享给大众。
开发商的最终目的,是比其他OEM更快地给发现的漏洞打上补丁–无论是公司自己还是其他人找到问题后,都会尽快解决。