Ein Forscher des Sicherheitsanbieters Sentinel One hat eine als kritisch eingestufte Anfälligkeit in Silent Circles Blackphone entdeckt. Sie erlaubt es einem Angreifer unter Umständen, die Kontrolle über bestimmte Funktionen des Smartphones zu übernehmen. Einem Blogeintrag zufolge steckt der Fehler im Betriebssystem PrivatOS, das auf Googles Android basiert und von Silent Circle um verschiedene Sicherheitsfunktionen erweitert wurde.
Eine weitere Analyse habe gezeigt, dass der privilegierte Prozess von Nvidias Icera-Modem in der Lage sei, direkt mit dem Blackphone-Modem zu kommunizieren. Somit könne eine webbasierte App auch Befehle an das Modem senden, um Anrufe umzuleiten, SMS zu verschicken oder eingehende Anrufe zu verbergen – alles ohne Wissen des Nutzers.
Darüber hinaus soll es möglich sein, beliebige Telefonnummern zu wählen, was jedoch oftmals dazu führen soll, dass das Gerät einfriert. Strazzere zufolge könnte ein Hacker aber auch Telefonkonferenzen starten, die Einstellungen für die Rufnummernübermittlung ändern oder eine permanente Anrufweiterleitung einrichten.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Silent Circle wurde bereits im August über die Bug-Bounty-Plattform Bugcrowd auf den Fehler aufmerksam. Am 10. September erhielt die Anfälligkeit die Kennung CVE-2015-6841. Das Update auf PrivatOS 1.1.13, das die Lücke schließt, steht seit Anfang Dezember zur Verfügung. Es stopft insgesamt 12 Löcher.
Das von Silent Circle entwickelte Blackphone gilt als besonders sicher. Da sein Betriebssystem auf Android basiert, ist es aber auch von Schwachstellen betroffen, die in Googles Mobilbetriebssystem stecken. Silent Circle verweist in dem Zusammenhang auf die speziellen Sicherheitsfunktionen von PrivatOS. So soll eine Security Center genannte Funktion beispielsweise vor der Installation einer Anwendung grundsätzlich die Zustimmung des Nutzers einholen – egal ob sie aus einer offiziellen oder inoffiziellen Quelle bezogen wurde.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…