Verschillende lekken in Blackphone gepatcht
De ontwikkelaars van de op privacy gerichte Blackphone hebben onlangs verschillende lekken in het besturingssysteem van het toestel gepatcht waardoor een aanvaller onder andere inloggegevens voor bepaalde applicaties kon onderscheppen, zo laten de onderzoekers weten die de problemen ontdekten.
De Blackphone is een nieuwe smartphone die veiligheid en privacy voorop stelt. Het toestel is door het Amerikaanse Silent Circle en het Spaanse Geeksphone ontwikkeld. Als besturingssysteem gebruikt de Blackphone het op Android-gebaseerde PrivatOS. Standaard wordt het toestel met allerlei privacy-applicaties geleverd die de gebruiker meer controle over zijn communicatie moeten geven. KPN zal de telefoon naar alle waarschijnlijkheid later dit jaar aanbieden.
Certificaten
Onderzoekers van het Amerikaanse Bluebox Labs analyseerden een Blackphone met PrivatOS 1.2. Ze ontdekten dat drie belangrijke apps op de telefoon, Silent Circle, Secure Wireless en SpiderOak, geen certificaat pinning gebruikten. Hierbij worden alleen SSL-certificaten geaccepteerd die door een bepaalde Certificaat Autoriteit (CA) zijn uitgegeven. Door het toevoegen van een eigen root-certificaat op de telefoon konden de onderzoekers een Man-in-the-Middle-aanval uit te voeren.
Een ander probleem waar de onderzoekers tegenaan liepen was dat er meer dan 150 root-certificaten op het toestel geïnstalleerd zijn. "Dit houdt in dat je apparaat een groot aantal Certificaat Autoriteiten vertrouwt, waarvan sommigen je misschien niet lekker zitten", aldus de onderzoekers. Via deze dubieuze root-certificaten zou het mogelijk zijn om Man-in-the-Middle-aanvallen uit te voeren.
De gevonden problemen werden elf dagen na te zijn gerapporteerd via de release van PrivatOS 1.3 verholpen. Volgens de onderzoekers is de Blackphone een goed begin om een veilige en private telefoon voor consumenten te maken. "Hoewel ze een paar voor de hand liggende fouten maakten, was de reactie en snelheid van de updates van Blackphone ongelooflijk en laat zien dat het Blackphone-team de mogelijkheid heeft om de telefoon snel in een veilige staat te krijgen."
"niet lekker zitten", "dubieuze". Wat moet ik daar nou mee. Staan er op de BlackPhone nu wel of niet gecorrumpeerde CA's.
Als dat wel zo is zou het mij interesseren hoe die dan door de ballotage gekomen zijn en waarom ze niet wereldwijd ingetrokken of vervallen verklaard zijn.
Op mijn laptop staan 351 Trusted root CA's. Ik begin mij ernstig zorgen te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
