最近有安全研究者发现了BlackPhone中一个漏洞，该漏洞允许攻击者解密用户信息、窃取通讯录并控制设备的重要功能，而这些重要功能是为了更好地保护政府及刑事探听的通讯。

什么是BlackPhone？

BlackPhone号称是全球最安全的手机，是在斯诺登事件后推出的以保护隐私为目标的手机。它采用定制版安卓系统，并且使用Silent Circle加密即时通讯应用，Spider Oak 加密数据存储，并且具备反追踪和反wifi嗅探等功能。

来自澳大利亚Azimuth安全公司的Mark Dowd指出，黑客们只需获得用户的Silent Circle ID或者电话号码就可远程利用这个漏洞。攻击者可偷偷地解密并阅读信息、读取通讯录、监控电话的地理位置信息、向手机的外部存储中编写代码或文本，并且列举存储在设备上的账户。他将该漏洞报告之后，BlackPhone修复了这个漏洞。

该漏洞存在SilentText中。SilentText是与BlackPhone捆绑在一起的安全文本信息应用程序，它是Google Play中的一款免费安卓app。一个名为libscimp的组件包含一种内存破坏漏洞，后者是某种类型的混淆漏洞。Libscimp是BlackPhone对Silent Circle即时通讯协议(SCIMP)的执行，并且在可扩展消息在线协议(XMPP)顶层运行。SCIMP用于创建发送文本信息人们之间的安全端对端信道。它会处理通过信道的加密数据传输。

幸运的是，官方已经帮用户修复了这个漏洞。但是这件事告诉我们，无论厂商吹嘘使用了多么高级别的防护，没有一个设备是绝对安全的。

(责任编辑：安博涛)