Ένα σφάλμα ασφάλειας στο Blackphone 1 smartphone επιτρέπει σε οποιονδήποτε να πάρει τον έλεγχο της συσκευής.
Τα Blackphone 1 smartphone, ένα από τα πολλά privacy-focused phones της αγοράς βρέθηκε να έχει μια κρίσιμη ευπάθεια που επιτρέπει σε επιτιθέμενους να κάνουν hijack το τηλέφωνο.
Το ελάττωμα αυτό ανακαλύφθηκε από μια ομάδα ερευνητών ασφάλειας της SentinelOne, κατά την διάρκεια μάλιστα των εκπαιδευτικών τους προγραμμάτων που περιλαμβάνουν την εκμάθηση του Icera modem που χρησιμοποιείται στα Blackphone 1 smartphones.
Aυτό που βρέθηκε ήταν μια ευπάθεια που επιτρέπει σε hackers να τρέξουν shell commands ή άλλα application στο τηλέφωνο, κάτι που θα μπορούσε να τους επιτρέψει να στείλουν οδηγίες στο τηλέφωνο για να τρέξει αυτό με τη σειρά του όπως επιθυμούν.
Οι επιτιθέμενοι μέσω αυτών των εντολών θα μπορούσαν να απαντήσουν ή να απορρίψουν κλήσεις σας, να στείλουν ή να λάβουν μηνύματα, να αλλάξουν τις ρυθμίσεις του τηλεφώνου σας, να πραγματοποιήσουν κλήσεις, και conference calls κ.λπ.. Εν ολίγοις, αν κάποιος attacker είχε καταφέρει να εκμεταλλευθεί την ευπάθεια αυτή του κινητού σας θα μπορούσε να κάνει με αυτό ό,τι ήθελε.
Η SentinelOne κέρδισε $500 δολάρια για την ανακάλυψη της ευπάθειας αφού η Silent Circle έτρεχε ένα bounty program στο οποίο θα έδινε ανταμοιβή σε οποιονδήποτε εύρισκε κάποια ευπάθεια στα κινητά της.
Η Silent circle επιδιόρθωσε το σφάλμα με το issue PrivatOS1.1.13 RC3, το οποίο είναι μια version του εταιρικού Αndroid operating system που χρησιμοποιείται στα Blackphone models τους.
Σε ένα Q&A session, η Silent Circle ισχυρίσθηκε πως για να ‘δουλέψει’ η ευπάθεια θα πρέπει η συσκευή να επηρεασθεί από κάποιο malware, έτσι οι χρήστες που δεν έχουν επηρεασθεί από κάποιο κακόβουλο λογισμικό δεν θα πρέπει να ανησυχούν. Το security fix έχει αυτόματα εγκατασταθεί σε όλες τις συσκευές.
Σημείωση: Το Βlackphone 2.x Branch δεν επηρεάζεται από το ζήτημα αυτό, έτσι οι χρήστες που κατέχουν οποιαδήποτε version του Blackphone2 δεν πρέπει να ανησυχούν.
