Bezpieczeństwo Blackphone to mit – smartfon został złamany w 5 minut
W styczniu informowaliśmy o urządzeniu Blackphone – firmy Silent Circel i Geeksphone postawiły sobie za cel stworzenie smartfonu bezpiecznego, który pozwoliłby na zachowanie prywatności użytkownika. Istnieją już na świecie produkty, które mają taki sam cel, niemniej swoistym przełomem miał być wykorzystany system operacyjny, Android. Podczas ostatniej konferencji Black Hat mającej miejsce w USA udało się zrootować to urządzenie. Zajęło to niespełna 5 minut.
Lukę, a w zasadzie to luki odkrył Justin Case (TeamAndIRC) zajmujący się Androidem, jego zabezpieczeniami i ich obchodzeniem. Jedna z możliwości uzyskania dostępu do trybu root i pełnego zarządzania nad urządzeniem została już usunięta poprzez aktualizację OTA. Druga nadal jest możliwa do wykorzystania, choć wymaga interakcji użytkownika, co czyni ją trudniejszą do wykonania jako udany atak. Świadomy użytkownik, a za takiego teoretycznie bierzemy posiadacza Blackphone, nie powinien wydawać zgody na działanie zdalnej aplikacji debugującej.
Justin Case wypowiedział się bardzo krytycznie o zaistniałej sytuacji i działaniach producenta. Według niego wystarczyło uruchomić podstawowe narzędzie testujące Compatibility Test Suite (CTS), lub przeprowadzić audyt, aby luka wyszła na jaw i można było załatać ją wcześniej. Choć firma stara się promować na tworzącą rozwiązania bezpieczne, okazuje się to jedynie grą marketingową. Według Justina, nie powinna robić z ludzi idiotów, bo jej urządzenie jest "bezpieczne" tylko dlatego, że ogranicza się do niewielkiej grupy odbiorców. Tak naprawdę nie oferuje jednak nic, co pozwalałoby nazywać je lepszym od typowego smartfonu z Androidem.
Urządzenie zostało zaprezentowane w lutym podczas targów MWC. Pomimo upływu czasu cena nie uległa zmianie i nadal za 629 dolarów otrzymujemy smartfon wyposażony w 4,7-calowy ekran IPS HD, do tego czterordzeniowy procesor NVIDIA Tegra o taktowaniu 2 GHz, 1 GB pamięci RAM, a także 16 GB pamięci wbudowanej z możliwością jej rozszerzenia za pomocą kart microSD. Telefon zapewnia zgodność ze standardem LTE, oferuje dwa aparaty: główny 8 MP oraz przedni 5 MP. Całość działa pod kontrolą zmodyfikowanego Androida, który jest pozbawiony elementów szpiegujących ze strony Google. Oferuje za to dodatkowe funkcje przez dedykowane aplikacje jak szyfrowane połączenia, szyfrowane wiadomości SMS, a także szyfrowana książka z kontaktami.
Porażka ta dobitnie pokazuje problem, jaki jest związany z tego typu projektami. Co z tego, że producent jest w stanie stworzyć swoje autorskie, bezpieczne i dbające o prywatność oprogramowanie, skoro jako bazy używa Androida, którego da się obejść? Podobnie jak większego sensu nie ma dom postawiony na fundamentach z piasku, podobnie i projekt Blackphone okazał się jedynie zabiegiem marketingowym. Reklama i chwalenie się bezpieczeństwem doprowadziły do tego, że teraz, po udanym przejęciu kontroli nad smartfonem, firma jedynie się ośmieszyła. Choć miała stanowić poważnego konkurenta dla Blackberry, mającego się niezbyt dobrze, a jednak posiadającego wiele certyfikatów z agencji rządowych, okazała się póki co drogą egzotyką.
