新闻链接：372K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4o6x3H3x3K6y4Q4x3X3g2Z5N6r3#2D9
新闻时间：2014-09-10
新闻正文：

全球最安全手机Blackphone的安全问题和漏洞详解

Blackphone,这个载体独立和供应商独立的智能手机，是以存放隐私和让用户拥有直属的权限为目标而被创造出来的，号称全球最安全手机。然而Bluebox安全团队在测试该手机时，发现并不是一无所获。

研究小组分析了该设备中版本为1.02的PrivatOS，这个系统是以安卓系统为基础进行封装的。其中，它预装了一套确保私密的程序，如Silent Circle的无声电话，无声文字，以及为安全呼出机制，文字消息，和联系人存储提供的“无声联系”。而安全中心的应用，将允许用户控制应用的权限，这些已经被打造Blackphone的公司所实现（Silent Circle和Geeksphone）。

这款手机安装了一些第三方应用，如“断开安全无线”应用，它会创建一个VPN连接到Disconnect.me（Blackphone的合作伙伴）的服务器上。除此之外，还有一个特殊的应用，Blackphone版本的在线备份工具SpiderOak。

该小组发现了一批设备本身和应用程序上出现的问题。首先，目前该手机没办法单独更新应用程序，这在11月份之前都是一个亟待解决的问题。其次，手机缺乏关键的应用程序，譬如能打开pdf和word的office软件。这将迫使用户安装第三方应用或者使用其他实际上不受信的方法，因为开发商并没有给该手机提供一个下载可信软件的应用商店。

其中的一个意外的发现是，这些应用的漏洞被披露出了一部分。研究人员在一篇博客中写道。

“具体来讲，我们发现，当你登录到手机的核心应用（Silent Circle应用、安全无线以及SpiderOak）的后台服务中去后”，这些应用会泄露账户名和密码给任何SSL服务器。我们之所以能意识到这点，是因为我们在设备上进行中间人攻击并且安装上了我们自己的SSL根证书。”

“这种类型的中间人攻击，可以通过SSL植入应用程序来减轻危害，”他们指出并补充道，其他应用程序也可能泄露信息。

该小组还发现150个以上的预装根证书放到系统存储时可能会出现问题。

“这意味着你的设备对相当多的认证投放了信任，而其中一些并不能让你放心”，他们说，举一个特殊的认证为例，“政府的根证书就是那样。”

它们可以被禁用，但这确实是一个繁琐的工作，都需要手工来完成。幸运的是，Blackphone的开发者已经对这个名单进行公开，并与Bluebox的研究人员合作，预计在未来会更新这些内容。

Blackphone的开发商在推出1.03版的PrivatOS仅仅十一天后，就被告知SilentCircle里面存在漏洞。这不是第一次对该手机的隐私性进行测试。上个月在DEF CON,Applied Cybersecurity的CTO，Jon Sawyer，发现了手机的一些漏洞，其中一些漏洞在设备初始版本的固件上。与此同时，在有记录的时间里，漏洞已经被打上了补丁。

如上文所述，尽管如用户期待的那样，Blackphone开发人员明白研究人员最终可能会发现设备和软件的漏洞。但他们实际上希望的是，漏洞的测试大牛们会将设备测试的结果分享给大众。

开发商的最终目的，是比其他OEM更快地给发现的漏洞打上补丁–无论是公司自己还是其他人找到问题后，都会尽快解决。