DEFCON: Blackphone

A pesar de estar lleno de técnicos y personas que hacen cosas interesantes con dispositivos móviles, no querrás tener una radio activa a menos de un cuarto de milla de DEFCON. Las aplicaciones de su teléfono ocultan constantemente datos personales en Internet, y la gente del muro de ovejas de DEFCON ha tenido mucho éxito en obtener algunos miles de nombres de usuario y contraseñas para cuentas de correo electrónico.

Blackphone está diseñado para ser la solución a este problema, así que cuando conocimos a algunos miembros del equipo de Blackphone en DEFCON, estábamos muy interesados ​​en echar un vistazo a su dispositivo.

La funcionalidad principal del Blackphone proviene de su sistema operativo llamado PrivatOS. Es una bifurcación de Android 4.4.2, que se supone que sellará las puertas traseras que se encuentran en otros teléfonos móviles. También hay muchas aplicaciones de Silent Circle que le dan a Blackphone la capacidad de realizar llamadas telefónicas cifradas, mensajes de texto (con intercambio de archivos) y listas de contactos cifradas y protegidas con contraseña.

El hardware del Blackphone es bastante impresionante; Nvidia Tegra de cuatro núcleos proporciona toda la energía que necesita para sus aplicaciones, videos y juegos 2048, una batería de 2000 mAh debería darle suficiente energía para pasar uno o dos días (especialmente porque puede apagar los núcleos), y la parte frontal / frontal habitual cámaras traseras, GPS, 802.11bgn y radios GSM y HSPA + / WCDA significan que este teléfono se podrá utilizar en la mayoría de las redes.

  • QWERTY dice:

    Soy muy escéptico sobre este nivel de seguridad. Android es Linux, además de una capa cada vez mayor de controladores y programas de código cerrado que pueden hacer todo lo que se les ordenó, incluida, por supuesto, leer todos sus datos. Ni siquiera piense que rootear un dispositivo Android y eliminar todas las aplicaciones de Google le brindará seguridad: si un conductor puede leer lo que escribe / dice / almacena / fotografía (sí, puede), está cometiendo un error.
    Vayamos al grano. Si quisiera espiar a la gente, pondría las rutinas de escuchar a escondidas y llamar a casa en el último lugar donde cualquiera pudiera buscarlas: ¡controladores de código cerrado! Operan con el mayor privilegio y no pueden ser reemplazados, desinstalados, examinados ni controlados de ninguna manera por el usuario.

    En cuanto a las prácticas de Google, se vuelven más claras cada día; aquí hay una buena lectura: http://bit.ly/IIXc5t

    • QWERTY dice:

      Además, los productos de la competencia de Apple y Windows suscitan las mismas preocupaciones y, por lo tanto, ofrecen el mismo nivel de seguridad: cero.

    • barry99705 dice:

      De fábrica, esto no tiene los servicios de Google instalados, por lo que no tiene que preocuparse por eso. Silent Circle también ha estado trabajando con tecnología de telefonía segura durante un tiempo, así que estoy seguro de que no estropearán el golpe y olerán tus datos. Perderían a su clientela con bastante rapidez.

      • QWERTY dice:

        No me refiero a Silent Circle a menos que hayan escrito el controlador de dispositivo para este teléfono, lo cual dudo mucho. Me refiero principalmente a Google y sus socios de hardware.

        Un controlador de dispositivo tiene acceso completo al hardware y nadie más que quien tiene sus fuentes (Google) puede controlarlo. Esto significa que lee su texto, copia sus fotos, lee su memoria de almacenamiento y escucha sus comunicaciones antes de que sean encriptadas, ningún algoritmo fuerte o contraseña larga ayudaría.
        Además, cada rastreador / depurador que viene como programa funciona con un privilegio menor y probablemente nunca verá su tráfico, por lo que no hay forma de bloquearlo, ni siquiera ser consciente de su existencia.

        Lo anterior se puede aplicar a todos los sistemas operativos, incluidos los equipos domésticos, los portátiles, las tabletas, etc. Usted elige contraseñas seguras y encripta todos sus discos, luego un pequeño blob binario necesario para hacer que una tarjeta funcione captura todas sus contraseñas a medida que las escribe, lee todo su almacenamiento y hace todo lo que está programado. Estamos hablando de un controlador de dispositivo: acceso completo al hardware, privilegios completos y control cero por parte del usuario; si hay un lugar para ocultar el código espía, aquí está.
        Ser 100% seguro requiere una plataforma 100% confiable, desafortunadamente esto no es posible si un controlador de código cerrado puede contener un código que cumpla con lo anterior. Entonces tenemos que presionar para obtener hardware abierto y controladores abiertos.
        Hoy en día, esto es 100% imposible, la mayoría del hardware está apagado, pero difundir la conciencia de la importancia de ser abierto a nivel de hardware puede ayudar a cambiar las cosas mañana, ya sea obligando a los fabricantes a abrir su hardware o creando una masa crítica de desarrolladores y partidarios de la comercialización. disponibilidad de soluciones de dispositivos abiertos en ese campo.

        Hasta ese día, lo siento, pero ningún teléfono es seguro.

        • barry99705 dice:

          En ese caso, nada es seguro.

          • Robar dice:

            Ding, Ding, Ding, Ding, Ding ... ¡tenemos un ganador!

        • Cierto dice:

          Nunca sucede. La FCC requiere que la energía sea limitada. Por lo tanto, ningún código fuente para los procesadores del grupo central será nunca de código abierto. El gobierno de los Estados Unidos insiste en tener una fuente cerrada en los dispositivos de comunicaciones de RF. Pero estoy totalmente de acuerdo contigo.

    • noname3 dice:

      Las prácticas de Google son cada vez más claras ... o das un programa. todos los permisos o ningún permiso ...

      • Haku dice:

        Parece ridículo que no pueda dictar qué aplicaciones tienen acceso a qué funciones de su dispositivo, incluso si rechazar el acceso a ciertas funciones rompe la aplicación al final del día, es su decisión permitir / denegar, especialmente en la plataforma Android donde puede descargar un programa de antorcha al que desea acceder:

        Historia de dispositivos y programas
        Fotos / Medios / Archivos
        Cámara / Micrófono
        Información de conexión wifi
        ID del dispositivo e información de llamada

        ¡Cuando su única función es encender / apagar el LED de luz de la cámara!

        Me gustaría pensar que el programador es vago y dejó algunas configuraciones predeterminadas cuando compilaron el programa, pero nunca se sabe. Demuestra que cada vez más personas están dispuestas a renunciar a algo que a menudo es muy personal por un estúpido programa gratuito.

        • Haku dice:

          Por cierto, el programa de antorcha al que me refería no era un pequeño programa desconocido, tiene más de 100 millones de descargas.

          Solo piensa en ello por un momento.

          • Tony dice:

            En Android, use "App Ops" para deshabilitar el acceso (3 niveles: Sí, No y Preguntar). Pero sí, no debería ser necesario, y los cambios de Google Store para "simplificar" las cosas no ayudaron.

            En el caso de la linterna seguirá teniendo acceso a la cámara y al micrófono, ya que el LED es el flash de la cámara ...

          • Algún chico dice:

            Probablemente solo otro engaño intrusivo de caballos, o mejor dicho, atraer y hacer muchas otras cosas que no sabías acerca de un plan para socavar esos datos personales siempre valiosos , al igual que Angry Birds hizo o hace).

  • Alan Hightower dice:

    Creo que todo debería ser de código abierto para maximizar la seguridad a través de revisiones abiertas por pares de arquitecturas e implementaciones; además de puertas traseras de seguridad que solo los gobiernos pueden usar legalmente y de buena fe. No soy un traficante de drogas ni un líder mafioso, por lo que el gobierno es 100% confiable. ¡Devuelve las tijeras! ¡Este teléfono necesita uno para ser completamente a prueba de piratería!

    • En serio dice:

      No necesito un juicio justo: ¡no soy un criminal!
      No necesito libertad de expresión: ¡no soy un radical!
      No necesito prensa libre: ¡no hay corrupción!

      Absolutamente asqueroso.

    • barry99705 dice:

      Sí, eso funcionó muy bien para ssl ...

    • Algún chico dice:

      Lo que se necesita con urgencia es una forma de transmitir el tono en el texto, ya que nuestros detectores sarcásticos innatos obviamente se manifiestan en un amplio espectro de sensibilidades. O al menos esa es mi suposición por qué gran parte de esto pasa desapercibido en los hilos de discusión en línea.

  • pasteleria dice:

    Según este artículo, este teléfono ya es propiedad.

    http://www.ibtimes.co.uk/most-secure-android-phone-hacked-defcon-hacking-conference-1460821

    • Brian Benchoff dice:

      Con una versión antigua del software que fue parcheada antes de la defcon un día después de que se encontró el exploit

      • Dudecallednick dice:

        ¡Maldita sea, si también pudieras poner verde el "decir" también! 🙂

  • Que no dice:

    Una palabra: ridículo

  • Galane dice:

    ¿Funcionará en 4GLTE de Sprint? Mi Galaxy Tab 3 en Sprint usa una tarjeta SIM extraíble, no probé una SIM prepaga o una de AT&T u otra compañía.

  • tim dice:

    "Teléfono móvil seguro" con sistema operativo Android, sin cifrado de voz de forma predeterminada, proveedor de empresa de correo electrónico con raíces en los EE. UU., Sin acceso físico a periféricos de tipo h de encendido / apagado como cámara, micrófono, gps, wifi, BT y otros espías cosas amistosas?
    ¿Es eso algún tipo de broma?
    ¿Ese tipo trabaja para 3 letras o qué?

  • cara dice:

    Abrí la radio en defcon hace 3 años no tuve ningún problema en absoluto. De acuerdo, estaba en 145.05 mhz (frecuencia de paquetes nacional) y la mayoría de esos "hackers" no pueden hackear cosas que no sean de computadora. Nadie rompió mi TNC y solo tenía 3 entradas en su buzón. Parece que la mayoría de los piratas informáticos ya no son radios.

    • Tony dice:

      La radioafición es para personas mayores.

      • Chispeante dice:

        Esto necesita cambiar. (en los EE. UU.) El examen técnico consta de 35 preguntas. Sin código Morse. En serio.

        • DracoBengali86 dice:

          Totalmente de acuerdo. La mayoría de las personas que leen este sitio no deberían tener problemas con el cuestionario. Si puede leer un esquema (básico), solo hay algunas cosas memorables y el resto es seguridad bastante general (¿estaría o no parado frente a un generador de microondas de alta potencia sin protección?).

        • Tony dice:

          No se trata de pasar la prueba, sino de no menos de 50 personas que se preocupan por la radioafición.

          La radio es buena para rastrear los lanzamientos de sus globos, pero bueno, solo toque Arduino + GPS + módulo de teléfono en él, funcionará.

          Necesitamos un protocolo de comunicación de larga distancia estándar, Bluetooth eXtreme o algo similar.

  • xorpunk dice:

    ¿Este teléfono es inmune a las vulnerabilidades de la corrupción de la memoria que evitarán cualquier sistema de archivos y políticas en UAC o MAC? Empresa ..

    Leí que los piratas informáticos de conferencias pueden encontrar errores y explosiones de código sin RE o entorno de prueba, por lo que este teléfono debería ser el verdadero negocio ...

    Usaría las funciones de seguridad de aislar y cifrar tecra con piratería de páginas y poner casi todo en cajas de arena.

  • Peter Hanely dice:

    "Logré obtener algunos miles de nombres de usuario y contraseñas para cuentas de correo electrónico".
    ¿Tanta gente ha utilizado conexiones de texto sin formato con sus proveedores de correo electrónico?

  • eksk dice:

    La banda base es siempre un blob binario, por lo que todo el esfuerzo es en vano.

    • xorpunk dice:

      Si soy un operador o controlador de botnet. Buscaré pilas de protocolos o un procesador API sobre vulnerabilidades, específicamente desbordamientos de búfer. A quién le importan muchas políticas de procesos y sistemas de archivos que solo mantienen tablas de páginas y discos; incluso utilizando funciones de seguridad poco sistemáticas.

      Además, nadie quiere escribir lib para un grupo base específico o usar llamadas generales primitivas de estilo AT. En general, estos son signos de una empresa clave y la capacidad de sospechar de los usuarios cuando bloquea Android con un inicio en segundo plano ...

      La piratería de recompensas en realidad mantiene estados validados en tiempo real, por lo que ninguna de estas cosas funcionaría, pero dudo seriamente que fueran lo suficientemente inteligentes como para llevarlo a cabo. Apostaría ese dinero a que realmente contrataron el trabajo y esto es solo por la rentabilidad del mercado ...

  • NNM dice:

    Feliz propietario de Blackphone aquí.
    Es bueno tener ningún rastro de Google en él.
    Es casual y hermoso. No busqué en los programas un círculo silencioso.
    Solo tengo UNA GRAN queja: el alcance de la conexión wi-fi es terrible en comparación con todos los demás teléfonos que he tenido; incluso el viejo HTC con Windows Mobile 6 tenía mejor wi-fi.
    Pero todo lo mejor supera este problema (hasta ahora).

    • Ijon dice:

      sin cobertura wofi -> no "hackeado por wifi": P todo por un buen propósito ...

      ... lo siento, no pude resistir ...

  • Javier Falbo dice:

    Blackphone es el teléfono MÁS móvil del mundo. Está enraizado ahora, y también todos los programas circulares silenciosos están VOLVER a sus servidores, por lo que todas sus llamadas y llamadas encriptadas son fácilmente manejadas por ellos. Teléfono de seguridad NULL, solo para niños o personas que no entienden nada sobre seguridad. Solo para niños jaja

  • para cargar dice:

    Entonces, ¿no existe una alternativa segura adecuada para instalar en mi teléfono? Estoy usando cianógeno ahora, pero dudo que sea mejor.

Miguel Vidal
Miguel Vidal

Deja una respuesta

Tu dirección de correo electrónico no será publicada.