新闻链接：http://www.seehand.com/news/366.html
新闻时间：2015年1月30日
新闻正文：
据开发人员表示，Blackphone 和Silent Circle关闭了移动通讯软件Silent Text上的严重漏洞，该漏洞来自专业防止盗窃和跟踪的智能手机Blackphone。

去年问世的Blackphone 是由 Silent Circle 和 Geeksphone 两家公司联合推出 的隐私手机。这部售价高达 629 美元的智能手机声称可以为隐私安全提供实时的保驾护航：它拥有基于 PrivatOS 的深度定制 Android 系统，内置 Silent Circle 的加密即时通讯应用、Spider Oak 的加密数据存储、Disconnect的反追踪服务和 Kizmet 的反 WiFi 嗅探等一系列创新科技。

Mark Dowd马克-多德，Azimuth Security公司创办人以及知名信息安全研究人员，最近公布了关于该已知操作漏洞的细节，据他声称，这个漏洞使得攻击者充分控制该装置的操作，定位Silent Circle中使用者的ID并获得他的电话号码。

多德称，该漏洞允许攻击者远程解密消息，跟踪设备的位置，窃取通讯录，将数据写入存储卡，甚至自动执行代码来获得root权限。

多德还表示：“如果攻击成功，这个漏洞可以引起任意代码在智能手机上的远程运行。比如，在该漏洞运行时，攻击者可以自主提升他们在程序中的权限。”

Silent Text是一个用于加密信息的程序，独立于基于安卓平台和IOS平台的Blackphone用户设备。多德解释道，负责建立加密链接的Silent Circle Instant Message Protocol (SCIMP)消息协议含有不能正确识别对象类型的漏洞。

该专家详细描述了这个bug，并提供了关于恶意代码样本的分析。他认为，发生这种情况，过错应当归于libscimp图书馆，因为它负责向该制定程序进行加密。

Blackphone同时还是热情的隐私权支持者的一项创新发展。大多数这样的决定是在斯诺登披露事件之后形成的：当时，很多用户有理由寻求适当的方式来保护自己的隐私不被窃取和窥探。

“去年五月Silent Text迎来了更新，通过SCIMP加强了发送加密信息的能力，甚至不需要等待通话者上线。该应用加密的原理基于初始密钥交换的需要，以建立一个加密的通道。理想情况下，你可以发送加密邮件，而无需等待对话者的相应，从而不必冒着牺牲邮件的风险，这在以前是做不到的。” Silent Circle的联合创始人Vinnie Moscaritolo强调道。

Silent Circle采用的方案被称为Progressive Encryption渐进式加密，并能够融合包括私人和临时密钥在内的通信协议。

在去年8月一年一度的DEF CON大会上，一位IT研究人员找到了获取Blackphone访问权限的方式，不过是在一些特殊情况下。根据黑客的尝试请求，现实中重复这种操作是不可能的。

自从DEF CON大会上这款以机密性引以为傲的智能手机惨遭滑铁卢之后，Blackphone和Silent Circle联合制作了一个Bugcrowd平台上的官方程序bug bounty(bug 赏金)，自愿者正在忙着寻找该手机应用程序和操作系统中的漏洞，还包括门户网站以及服务器更新，每个寻找到的bug可以获得128美元的奖金。首席安全顾问Dan Ford表示，开发商不会对奖金设置上限。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！