超级安全的黑电话漏洞允许黑客解密文本

超级安全的制造商由沉默的圆圈命名为世界上第一款将隐私和控制权直接置于用户手中的智能手机“最近修复了即时通讯应用程序中的一个关键漏洞，该漏洞允许黑客在手机上运行恶意代码。

 

BlackPhone去年也被黑客入侵黑帽安全会议，但最近黑客攻击的一个有趣因素是，攻击者只需要在目标电话号码上发送一条消息，就可以破坏设备。

 

该漏洞最初是由马克·多德他是澳大利亚咨询公司Azinth security的首席安全研究员。多德2014年底发现了这个问题，但一直等到Blackphone安装了补丁和修复程序后才公布。

 

缺陷实际上存在于静默文本应用程序— 与BlackPhone手机捆绑在一起的安全短信应用程序，也可以在Google Play Store上作为Android应用程序免费提供。

利用该漏洞，黑客可以执行以下任务：

 

"成功利用该漏洞可以使用静默文本应用程序的权限远程执行代码，静默文本应用程序作为常规Android应用程序运行，但需要一些额外的系统权限来执行其类似SMS的功能，例如访问联系人、访问位置信息、写入外部存储的能力，当然还有网络接入”多德说。

该漏洞是由一个名为libscimp—；Silent Circle即时通讯协议（SCIMP）的BlackPhone实现，该协议运行在可扩展消息和状态协议（XMPP）上；它包含一种称为类型混淆漏洞的内存损坏缺陷。

 

SCIMP被BlackPhone的创建者用来在发送短信的人之间创建一个安全的端到端加密通道。它还负责通过通道传输加密数据。

 

现在，随SilentText提供的这个SCIMP实现包含一个类型混淆漏洞，通常允许攻击者直接覆盖内存中的指针（部分或全部），成功利用该指针可获得对易受攻击设备的远程未经验证的访问。"

 

Dowd在他的博客上给出了可靠的技术描述，因此您可以参考他的博客文章，了解有关该关键漏洞的更详细解释。

 

该漏洞已经被修补，但对于那些无疑做了很多正确的事情为用户提供了强大的加密的人来说，它是一个强有力的提醒，但在这个软件更加复杂、黑客攻击更加先进的时代，你的产品不可能被黑客攻击是不可能的。