Фінансові новини
- |
- 07.07.26
- |
- 14:00
- |
-
RSS - |
- мапа сайту
Авторизация
Самый защищённый смартфон BlackPhone оказался уязвим
18:08 28.01.2015 |
Марк Дауд (Mark Dowd) из австралийской компании Azimuth Security обнаружил серьёзную уязвимость в «сверхзащищённом» смартфоне BlackPhone. Она позволяет перехватывать сообщения, удалённо считывать список контактов, определять местоположение абонента и компрометировать приватные данные множеством других способов.
Проект BlackPhone был основан Silent Circle и Geeksphone в ответ на массу свидетельств о тотальной слежке за абонентами сотрудниками АНБ и других спецслужб по всему миру. Сноуден, Ассанж и другие хактивисты уже не первый год удивляют общественность всё новыми подробностями о работе PRISM и аналогичных систем мониторинга трафика.
Ответные меры обеспечения приватности и анонимности базируются на шифровании данных. Однако чисто программное решение часто оказывается бесполезным на практике. Что толку от защищённого приложения, если оно работает в среде уязвимой ОС и на типовой аппаратной платформе с открытым доступом к критичным данным?
Одной из попыток создать полностью защищённое устройство стал BlackPhone - смартфон с функцией шифрования голосовых вызовов, текстовых сообщений, MMS и развитыми средствами противодействия отслеживанию действий пользователя в сети.
BlackPhone работает под управлением PrivatOS - модификации ОС Android с обилием интегрированных средств для защиты данных. Создали его в компании SGP Technologies - объединении двух других технологических стартапов.
Первым участником стала Geeksphone - испанская фирма, специализирующаяся на разработке программных решений для мобильной телефонии с открытым исходным кодом.
Средства шифрования для BlackPhone писали в Silent Circle, соучредителями которой стали такие известные криптографы, как Филипп Циммерман (Philip Zimmermann) и Джон Каллас (Jon Callas).
Совместными усилиями смартфон был выпущен во второй половине прошлого года. Он позиционируется как максимально защищённый от прослушивания и перехвата данных смартфон, позволяющий выполнять анонимный поиск в интернете и предупреждающий о подключении к сомнительным точкам доступа примерно также, как это делает CryptoPhone 500.
Однако стойкие криптографические алгоритмы и авторитет разработчиков, как это уже часто бывало, оказались сведены на нет кривой реализацией единственного приложения.
|
Приложение Silent Text, поставившее под удар всю защиту BlackPhone. |
В ходе аудита Azimuth Security оказалось, что для выполнения удалённого НСД достаточно знать идентификатор пользователя в системе Silent Circle или номер его телефона.
Далее злоумышленник отправляет на него сообщение, содержащее управляющие команды. Его получает приложение SilentText (также доступное в Google Play), которое использует библиотеку libscimp.
Она содержит уязвимость по типу «утечка памяти», поэтому модифицированное сообщение обрабатывается как локальная команда с правами текущего пользователя - владельца смартфона.
В блоге компании Марк Дауд пишет, что таким образом можно незаметно делать практически что угодно: получить и расшифровать сообщения, угнать аккаунт SilentCircle, считать данные GPS и определить местоположение жертвы, считать и записать любой файл с карты памяти и внешних устройств, если они подключены к BlackPhone.
Можно даже создать скрипт и прописать его на автозапуск, гарантированно выполняя любой код при загрузке системы. Таким образом можно повысить привилегии до высшего уровня.
Марк отмечает, что уязвимость, получившая название BlackPwn даёт вомзожность переключиться в режим отладки и получить даже больший контроль над криптофоном, чем разработчики изначально предлагают его легитимному владельцу.
Марк Дауд принадлежит к группе «этических хакеров» и не пытается погреть руки в пламени чужого пожара. Поэтому после обнаружения уязвимости он сообщил о ней разработчикам приватным письмом. К чести Silent Circle, они сразу признали проблему и выпустили исправление уже через сутки. Для сравнения: Microsoft обвиняет Google в том, что в рамках Project Zero последняя публикует отчёты о найденных уязвимостях слишком быстро - спустя 90 дней после их обнаружения и независимо от наличия выпущенных исправлений.
ТЕГИ
ТОП-НОВИНИ
ТОП-НОВИНИ
ПІДПИСКА НА НОВИНИ
Для підписки на розсилку новин введіть Вашу поштову адресу :


Печерський районний суд Києва заборонив «Центру
протидії корупції» та «Слідству.Інфо» публікувати розслідування про
об'єкти нерухомості брата директора Державного бюро розслідувань Олексія
Сухачова.
1 липня 2026 року Державна служба експортного контролю України (ДСЕК)
видала перший в історії країни дозвіл на експорт готових бойових
безпілотних систем.
Держбюджет України отримав майже 600 млн доларів від Міжнародного банку реконструкції та розвитку для фінансування соцвиплат.
У 30-й пакет військової допомоги від Данії увійдуть боєприпаси та інше озброєння. Також передбачені кошти на "данську модель", яка дозволяє закуповувати продукцію в українських підприємств.
Україна та Швеція у вівторок, 30 червня, уклали угоду про закупівлю 16 сучасних винищувачів Gripen E.
Контроль особистих фінансів не означає жити в обмеженнях; він означає розуміти, що відбувається з грошима, і приймати рішення усвідомлено.
Дізнайтеся, як облаштування тренажерного залу в офісі підвищує продуктивність команди. Поради щодо вибору професійного фітнес-обладнання від бренду Besport.
Із 7 липня Google змінює правила підрахунку використаного сховища для
облікових записів. Відтепер усі дані резервних копій Android
зараховуватимуться до загального ліміту пам'яті.
Компанія Motorola оголосила про запуск сервісу Global Connect,
який дозволяє користувачам отримувати доступ до мобільного інтернету
під час закордонних подорожей без необхідності шукати місцевого
оператора або встановлювати нову eSIM в кожній країні.
Поки світові автовиробники обережно дискутують про темпи переходу на
електротягу, китайська корпорація BYD продовжує агресивну експансію
інфраструктури
Вища судова інстанція Європейського Союзу - Європейський суд
справедливості (ECJ) - ухвалила остаточне рішення у справі проти
компанії Google та її материнського холдингу Alphabet.
За словами CEO Microsoft Commercial
Business Джадсона Олтгоффа, компанії вже концентруються не на тестуванні
ШІ, а на отриманні вимірюваної віддачі від інвестицій.
За шість місяців 2026 року в Україні продали
близько 33 тис. нових легкових автомобілів, що на 0,5% більше, ніж за
аналогічний період минулого року.
OpenAI веде попередні переговори про передачу уряду США 5% акцій
компанії. За задумом генерального директора Сема Альтмана, аналогічну
частку державі могли б передати й інші провідні американські розробники
штучного інтелекту, повідомляє Financial Times із посиланням на джерела.
Samsung Foundry відновила розробку 1,4-нм технологічного процесу після
паузи, однак масове виробництво таких чипів тепер заплановане лише на
2029 рік.
Потужний приплив інвестицій у штучний інтелект (ШІ), який розігнав
світові біржі до рекордів, може завершитися фінансовим крахом.
Опубліковано червневий рейтинг найпотужніших суперкомп'ютерів планети
TOP500. Головна сенсація - американська система El Capitan, що
лідирувала до цього, зміщена з п'єдесталу.
Volkswagen планує припинити партнерство з Bosch у напрямку
автоматизованого водіння, повідомляє німецьке видання Bild із посиланням
на кілька джерел.
Група компаній "Епіцентр" запустила цифрову платформу "Епіцентр Бізнес",
яка об'єднує низку сервісів для підприємців, зокрема, бізнес-закупівлі і
можливість кредитування, повідомила пресслужба групи.
Сучасна авіація, попри всі ці сенсорні екрани в кабінах та композитні
матеріали, залишається досить консервативною штукою. Ви нахиляєте
літак, бо залізна пластина на крилі відхиляється вгору чи вниз. Це
ефективно, але складно, важко та створює купу аеродинамічного опору.
Компанія
Ford повернула на роботу близько 350 досвідчених інженерів для
вирішення проблем з якістю автомобілів, які не вдалося усунути за
допомогою штучного інтелекту.