image

Verschillende lekken in Blackphone gepatcht

dinsdag 9 september 2014, 12:42 door Redactie, 1 reacties

De ontwikkelaars van de op privacy gerichte Blackphone hebben onlangs verschillende lekken in het besturingssysteem van het toestel gepatcht waardoor een aanvaller onder andere inloggegevens voor bepaalde applicaties kon onderscheppen, zo laten de onderzoekers weten die de problemen ontdekten.

De Blackphone is een nieuwe smartphone die veiligheid en privacy voorop stelt. Het toestel is door het Amerikaanse Silent Circle en het Spaanse Geeksphone ontwikkeld. Als besturingssysteem gebruikt de Blackphone het op Android-gebaseerde PrivatOS. Standaard wordt het toestel met allerlei privacy-applicaties geleverd die de gebruiker meer controle over zijn communicatie moeten geven. KPN zal de telefoon naar alle waarschijnlijkheid later dit jaar aanbieden.

Certificaten

Onderzoekers van het Amerikaanse Bluebox Labs analyseerden een Blackphone met PrivatOS 1.2. Ze ontdekten dat drie belangrijke apps op de telefoon, Silent Circle, Secure Wireless en SpiderOak, geen certificaat pinning gebruikten. Hierbij worden alleen SSL-certificaten geaccepteerd die door een bepaalde Certificaat Autoriteit (CA) zijn uitgegeven. Door het toevoegen van een eigen root-certificaat op de telefoon konden de onderzoekers een Man-in-the-Middle-aanval uit te voeren.

Een ander probleem waar de onderzoekers tegenaan liepen was dat er meer dan 150 root-certificaten op het toestel geïnstalleerd zijn. "Dit houdt in dat je apparaat een groot aantal Certificaat Autoriteiten vertrouwt, waarvan sommigen je misschien niet lekker zitten", aldus de onderzoekers. Via deze dubieuze root-certificaten zou het mogelijk zijn om Man-in-the-Middle-aanvallen uit te voeren.

De gevonden problemen werden elf dagen na te zijn gerapporteerd via de release van PrivatOS 1.3 verholpen. Volgens de onderzoekers is de Blackphone een goed begin om een veilige en private telefoon voor consumenten te maken. "Hoewel ze een paar voor de hand liggende fouten maakten, was de reactie en snelheid van de updates van Blackphone ongelooflijk en laat zien dat het Blackphone-team de mogelijkheid heeft om de telefoon snel in een veilige staat te krijgen."

Reacties (1)
09-09-2014, 16:22 door Eric-Jan H te D
Een ander probleem waar de onderzoekers tegenaan liepen was dat er meer dan 150 root-certificaten op het toestel geïnstalleerd zijn. "Dit houdt in dat je apparaat een groot aantal Certificaat Autoriteiten vertrouwt, waarvan sommigen je misschien niet lekker zitten", aldus de onderzoekers. Via deze dubieuze root-certificaten zou het mogelijk zijn om Man-in-the-Middle-aanvallen uit te voeren.

"niet lekker zitten", "dubieuze". Wat moet ik daar nou mee. Staan er op de BlackPhone nu wel of niet gecorrumpeerde CA's.
Als dat wel zo is zou het mij interesseren hoe die dan door de ballotage gekomen zijn en waarom ze niet wereldwijd ingetrokken of vervallen verklaard zijn.

Op mijn laptop staan 351 Trusted root CA's. Ik begin mij ernstig zorgen te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.