本文讲的是白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录,
据外媒报道,美国白宫和美国国会工作人员沟通工作时使用的自认为安全的通信软件被发现存在安全漏洞。
Confide是特朗普上台之后指明政府部门使用的一款安全通信软件,据称Confide使用的是军事级别的端对端加密方式,消息在读取后便会消失能够保障用户之间的通信安全,任何人都不可能劫持或读取用户通信数据。
然而,Confide的这种保障却被赤裸裸的打脸了。来自IOActive的安全研究员在Confide上发现了数个严重漏洞。Windows、Mac OS X、Android版的Confide均受影响。
攻击者可修改Confide通信信息
安全人员发现,利用Confide上的漏洞可执行以下操作:
1. 因为Confide并没有对暴力破解攻击进行限制,所以攻击者可劫持账户session或者猜测账户密码 2. 查看并窃取联系人信息,包括真实用户名、邮箱地址、手机号码 3. 用中间人攻击劫持会话信息,并解密会话 4. 更改通信信息或者附件信息 5. 将修改后的会话信息发送出去,可能会致使通信软件崩溃、运行速度变慢
两天的时间内,安全研究员通过利用Confide漏洞已经成功访问了7000多个用户的通信记录。
危机特朗普机密信息安全
通过安全研究员的测试发现,他们能够找到特朗普相关数据、国土安全局的相关数据。总之,只要你下载使用了Confide,攻击者就能拿到你的数据。
IOActive的安全研究员Mike Davis、Ryan O'Horo、Nick Achatz总共发现了11个安全漏洞,并且已经提交给了Confide开发者。除此之外,安全研究员们还在iOS版的Confide上发现了一系列的设计漏洞,也可能会泄露用户信息。
Quarkslab的安全研究员在分析完Confide代码之后,于本周三公布了一个exp。
Confide公司也可以读取你的信息
据安全研究员的介绍,通过设置中间人,Confide服务器也可以读取你的通信信息。像Confide声称的可以永久性的删除信息,禁止截屏等操作也是可以被安全研究员推翻的。
安全人员表示:
Confide的端对端加密技术还没有到达炉火纯青的地步。开发一款即时通信软件并不是一件容易的事情,从技术上来说,它应该从一开始就部署强大的安全机制。
Quarkslab的安全研究员称,他们可以绕过Confide的数层防护机制,包括应用程序签名、代码混淆、证书锁定。
原文发布时间为:2017年3月10日
本文作者:張奕源Nick
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。