开发者社区> 玄学酱> 正文

白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录

简介: 本文讲的是白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录,据外媒报道,美国白宫和美国国会工作人员沟通工作时使用的自认为安全的通信软件被发现存在安全漏洞。
+关注继续查看
本文讲的是白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录

白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录

据外媒报道,美国白宫和美国国会工作人员沟通工作时使用的自认为安全的通信软件被发现存在安全漏洞。

Confide是特朗普上台之后指明政府部门使用的一款安全通信软件,据称Confide使用的是军事级别的端对端加密方式,消息在读取后便会消失能够保障用户之间的通信安全,任何人都不可能劫持或读取用户通信数据。

然而,Confide的这种保障却被赤裸裸的打脸了。来自IOActive的安全研究员在Confide上发现了数个严重漏洞。Windows、Mac OS X、Android版的Confide均受影响。

攻击者可修改Confide通信信息

安全人员发现,利用Confide上的漏洞可执行以下操作:

1. 因为Confide并没有对暴力破解攻击进行限制,所以攻击者可劫持账户session或者猜测账户密码
2. 查看并窃取联系人信息,包括真实用户名、邮箱地址、手机号码
3. 用中间人攻击劫持会话信息,并解密会话
4. 更改通信信息或者附件信息
5. 将修改后的会话信息发送出去,可能会致使通信软件崩溃、运行速度变慢

两天的时间内,安全研究员通过利用Confide漏洞已经成功访问了7000多个用户的通信记录。

危机特朗普机密信息安全

白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录

通过安全研究员的测试发现,他们能够找到特朗普相关数据、国土安全局的相关数据。总之,只要你下载使用了Confide,攻击者就能拿到你的数据。

IOActive的安全研究员Mike Davis、Ryan O'Horo、Nick Achatz总共发现了11个安全漏洞,并且已经提交给了Confide开发者。除此之外,安全研究员们还在iOS版的Confide上发现了一系列的设计漏洞,也可能会泄露用户信息。

Quarkslab的安全研究员在分析完Confide代码之后,于本周三公布了一个exp。

Confide公司也可以读取你的信息

据安全研究员的介绍,通过设置中间人,Confide服务器也可以读取你的通信信息。像Confide声称的可以永久性的删除信息,禁止截屏等操作也是可以被安全研究员推翻的。

安全人员表示:

Confide的端对端加密技术还没有到达炉火纯青的地步。开发一款即时通信软件并不是一件容易的事情,从技术上来说,它应该从一开始就部署强大的安全机制。

Quarkslab的安全研究员称,他们可以绕过Confide的数层防护机制,包括应用程序签名、代码混淆、证书锁定。




原文发布时间为:2017年3月10日
本文作者:張奕源Nick
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金
本文讲的是因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金,ImageMagick是一个免费开源的图像处理软件,用于创建、编辑、合成图片,可运行于大多数的操作系统,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。
1248 0
运维调试记录:Ubuntu下通过PPA方式安装Java 8并自动配置环境变量
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhaobryant/article/details/51125246 Install OpenJDK 8 in Ubuntu: For 14.
855 0
多个版本的BIND DNS软件都存在一个严重漏洞
本文讲的是多个版本的BIND DNS软件都存在一个严重漏洞,最近,安全研究员在BIND DNS软件发现了一个比较严重的DoS漏洞,好在已经被ISC(互联网系统协会)修复了。
1424 0
给你的linux服务器安装一个免费的杀毒软件CLAM吧!
给你的linux服务器安装一个免费的杀毒软件CLAM吧!
4669 0
威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件。除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐患。 由于攻击者直接复制了Jenkins系列漏洞发现者(Orange.tw)在博客上公布的poc,攻击payload含有"Orange.tw"字样,可能被误认为是漏洞发现者在进行测试,因此我们将木马命名为ImposterMiner(冒充者)。
8803 0
白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录
本文讲的是白宫特供通信软件Confide被发现存在漏洞,可查看特朗普聊天记录,据外媒报道,美国白宫和美国国会工作人员沟通工作时使用的自认为安全的通信软件被发现存在安全漏洞。
1350 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20683
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载