Erste Sicherheitslücken im Blackphone entdeckt
Auf der gerade zu Ende gegangenen Sicherheitskonferenz Def Con 22 wurde beim zur Sicherung der Privatsphäre angetretenen Blackphone drei Sicherheitslücken gefunden. Über eine der Lücken ist ein Rooten des Smartphones möglich – wenn auch nur mit direktem Zugang zum Gerät. Die Lücke wurde jedoch bereits per Update geschlossen.
Bereits Anfang des Jahres sorgte der Zusammenschluss des US-amerikanischen Unternehmens Silent Circle und des spanischen Herstellers Geeksphone auf dem MWC in Barcelona für Aufsehen: Mit dem Blackphone sollte der Nutzer die Hoheit über seine Daten und Privatsphäre behalten. Dieses Versprechen hat nun auf der Sicherheitskonferenz Def Con 22 einen Dämpfer erhalten.
Wie auf der Konferenz bekannt wurde, hat der Hacker mit dem Pseudonym „Justin Case“ in dem auf Android basierenden PrivatOS drei Lücken ausfindig gemacht. Über die erste Lücke ließ sich zunächst die Android Debug Bridge (ADB) im System aktivieren - die von Android bekannte Menü-Einstellung fehlt hierzu jedoch bei PrivatOS. Über die zweite Lücke soll es Case anschließend gelungen sein eine Shell mit Systemrechten zu aktivieren. Danach war es über eine weitere Schwachstelle schließlich möglich, das Blackphone zu rooten – dafür war jedoch ein direkter Zugriff auf das Smartphone nötig.
Dass diese Informationen erst jetzt öffentlich wurde, ist auf das verantwortungsvolle Handeln seitens Case zurück zu führen; dieser trat mit seinen Entdeckungen erst an die Öffentlichkeit, nachdem SGP Technologies die Lücke am 1. August geschlossen hatte. Dies bestätigte er auch in einer eigenen Twitter-Meldung. Darüber hinaus räumte er ein, dass SGP den Zugriff bereits vor seiner Entdeckung per Systemupdate beseitigt hatte. Auch die zweite Schwachstelle wurde laut SGP-Sicherheitschef Dan Ford nach bekanntwerden innerhalb von zwei Tagen beseitigt. In dem Aktivieren der ADB sieht Ford jedoch kein Sicherheitsproblem: Diese wurde nur im Blackphone deaktiviert, da diese mit einem Bug verbunden sei, welche die Funktion des Smartphones beeinträchtigt hätte. Da sie ein Bestandteil des eigentlichen Android-Systems sei, könne das Aktivieren nicht als Problem angesehen werden.