De Blackphone blijkt maar steeds weer niet veilig te zijn en zelfs KPN heeft het toestel uitgesteld voor de verkoop. Het zijn nu weer verouderde ssl-certificaten waarmee wordt gecommuniceerd welke niet wordt gevalideerd op hun eigen server melden onderzoekers van Bluebox Labs.
De drie belangrijkste apps op de telefoon, Silent Circle, Secure Wireless en SpiderOak, gebruikten geen certificaat pinning.. Hierbij worden alleen SSL-certificaten geaccepteerd die door een bepaalde Certificaat Autoriteit (CA) zijn uitgegeven. Door het toevoegen van een eigen root-certificaat op de telefoon konden de onderzoekers een Man-in-the-Middle-aanval uit te voeren.
Het toestel is ook niet hardware beveiligd zoals BlackBerry maar puur software matig en dat men Android wat het grootste aandeel malware en virussen heeft en waarbij veel apps nog oude certificaten gebruiken waaronder 674 apps uit de gratis top 1000 via de play store.
Dit is nog niet alles want er zijn ook meer dan 150 roots-certificaten geinstalleerd welke eventueel ook misbruikt kunnen worden en dat is allemaal enorm vervelend maar geeft wel weer aan dat
het beveiligen van een toestel niet altijd makkelijk is.
De drie belangrijkste apps op de telefoon, Silent Circle, Secure Wireless en SpiderOak, gebruikten geen certificaat pinning.. Hierbij worden alleen SSL-certificaten geaccepteerd die door een bepaalde Certificaat Autoriteit (CA) zijn uitgegeven. Door het toevoegen van een eigen root-certificaat op de telefoon konden de onderzoekers een Man-in-the-Middle-aanval uit te voeren.
Het toestel is ook niet hardware beveiligd zoals BlackBerry maar puur software matig en dat men Android wat het grootste aandeel malware en virussen heeft en waarbij veel apps nog oude certificaten gebruiken waaronder 674 apps uit de gratis top 1000 via de play store.
Dit is nog niet alles want er zijn ook meer dan 150 roots-certificaten geinstalleerd welke eventueel ook misbruikt kunnen worden en dat is allemaal enorm vervelend maar geeft wel weer aan dat
het beveiligen van een toestel niet altijd makkelijk is.
Reacties
Een reactie posten