Главный консультант австралийской ИБ-компании Azimuth Security Марк Доуд (Mark Dowd) сообщил о серьезной уязвимости в BlackPhone, который считается самым защищенным Android-смартфоном. Эксплуатация бреши позволяла вызвать повреждение памяти, удаленно выполнить произвольный код и в результате повысить свои привилегии в приложении для обмена сообщениями.
Атакующий мог расшифровывать сообщения, похищать учетные записи, получать информацию о местонахождении владельца смартфона, просматривать список контактов, записывать данные на внешние накопители, а также запускать любые дополнительные коды, к примеру, эксплоит для повышения привилегий и получения полного контроля над устройством. Все, что было нужно для успешной эксплуатации уязвимости – это Silent Circle ID или телефонный номер жертвы. При этом злоумышленнику необязательно вступать с ней в непосредственный контакт. Данная брешь является ярким примером того, что даже специально созданный с учетом высокой безопасности смартфон не является абсолютно защищенным. Свидетельства эксплуатации этой уязвимости не обнаружены. На момент написания новости брешь была исправлена. (BlackPhone/NovostIT)