回归最本质的信息安全

换一种方式利用安卓系统漏洞

2016年9月14日发布

2,677
0
0

导语:最近,我发现Wickr正在被用作传递信息的安全机制,这不得不让我想起我曾在2014年1月披露的一个Wickr的漏洞,在此之前我并没有写过关于这件事的详情。

最近,我发现Wickr正在被用作传递信息的安全机制,这不得不让我想起我曾在2014年1月披露的一个Wickr的漏洞,在此之前我并没有写过关于这件事的详情。

美国网络安全公司Wickr自筹资金开发一款防泄密的软件,采用的是军事级别的加密技术,并具备自毁功能。开发这款软件的目的是向所有人提供一个自由、便捷,且不会留下任何痕迹的软件。它能保护用户信息,对信息进行加密及销毁,无论是图片、视频、语音或文字信息,Wickr都会进行四重加密。

事实上这款软件利用的是1.9.8.8 Beta版本Android系统中存在的一个漏洞,可导致系统日志中的敏感信息泄露。

Wickr使用军事级别的加密方式

Wickr主要利用SQLCipher来对聊天记录进行加密,而且对于所有使用过安卓系统的人来说,SQLCipher都是必须要使用到的。其实它就是个普通的SQLite数据库,但是却被加入了AES加密,而且读写都只需一键就可进行。因此它的安全目标也就不仅仅是泄露数据了,而更像一个转存的sqlite数据库。

据分析,Wickr的一些关键信息与安卓系统的之前泄露的系统日志信息完全一致。如果想证明这点的话,你只需要将安卓版本倒回到2014年的旧版对系统日志进行访问就可以了,我相信这一点对于很多人来说很简单。

我是在2014年一月16号提交的这一漏洞,其补丁打的非常快,但我不记得其中的细节了。

​本文翻译于marcorgass,如若转载,请注明来源于嘶吼: http://www.4hou.com/vulnerable/2053.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

暗地月光

暗地月光

嘶吼编辑

发私信

发表评论