Niti BlackPhone ni popolnoma imun na napade
Matej Huš
28. jan 2015 ob 14:37:11
Mobilni telefon BlackPhone, ki je dizajniran in narejen z mislijo na varnost in naj bi bil odporen na posege v zasebnost že po dizajnu, ni popolnoma imun na napade. V 630 dolarjev vrednem telefonu izpod rok ustanoviteljev Silent Circle, ki se odlično prodaja, so namreč odkrili (in tudi že zakrpali) ranljivosti, ki omogočajo dešifriranje sporočil, ugotavljanje lokacije, pregled vnosov v imeniku, zapis na flash in poganjanje poljubne zlonamerne kode. Za napad zadostuje poznavanje telefonske številke tarče ali njenega ID-ja pri storitvah Silent Circle. BlackPhone je resda varnejši od ostalih komercialnih pametnih telefonov, a stoodstotne varnosti ne moremo pričakovati nikjer.
Mark Dowd je odkril, da ranljivosti tiči v aplikaciji za pošiljanje sporočil SilentText, ki je na telefonu prednameščena, lahko pa si jo prek Google Playa prenesemo tudi na ostale naprave z Androidom. SilentText za pošiljanje sporočil uporablja protokol SCIMP (Silent Circle Instant Messaging Protocol), težave pa povzroča knjižnica libscimp. Telefonu lahko pošljemo posebej oblikovan podatkovni paket, ki hekerji omogoča prevzem nadzora. O ranljivosti, ki je podobna že leta 2009 teoretično obdelani pomanjkljivosti, je obvestil proizvajalca, ki jo je že zakrpal, zato so sedaj podrobnosti znane tudi javnosti.
Nova luknja kaže, da varno prenašanje sporočil ni zadosti, če nista ustrezno zaščiteni tudi začetna in končna točka prenosa. BlackPhone se je varnosti lotil bolje kot konkurenca, a pomanjkljivosti se vedno lahko najdejo.