Обнаружена серьезная уязвимость в самом защищенном Android-смартфоне BlackPhone

Эксплуатация бреши позволяла вызвать повреждение памяти, удаленно выполнить произвольный код, повысить привилегии и получить полный контроль над устройством.  

Главный консультант австралийской ИБ-компании Azimuth Security Марк Доуд (Mark Dowd)  сообщил  о серьезной уязвимости в BlackPhone, который считается самым защищенным Android-смартфоном. Эксплуатация бреши позволяла вызвать повреждение памяти, удаленно выполнить произвольный код и в результате повысить свои привилегии в приложении для обмена сообщениями.

Атакующий мог расшифровывать сообщения, похищать учетные записи, получать информацию о местонахождении владельца смартфона, просматривать список контактов, записывать данные на внешние накопители, а также запускать любые дополнительные коды, к примеру, эксплоит для повышения привилегий и получения полного контроля над устройством.

Все, что было нужно для успешной эксплуатации уязвимости – это Silent Circle ID или телефонный номер жертвы. При этом злоумышленнику необязательно вступать с ней в непосредственный контакт.

Данная брешь является ярким примером того, что даже специально созданный с учетом высокой безопасности смартфон не является абсолютно защищенным. Свидетельства эксплуатации этой уязвимости не обнаружены. На момент написания новости брешь была исправлена.