Student objevil skulinu, která umožňuje odposlouchávat hovory prezidenta USA

Společnost Cisco má problém. Komunikaci přes její VoIP telefony je možné odposlouchávat. Podle studenta, který na mezeru upozornil, nepomohly ani bezpečnostní záplaty.

Na právě probíhajícím výročním summitu ruské antivirové společnosti Kaspersky v portorickém San Juanu, student Kolumbijské university Ang Cui demonstroval, jak je možné zneužít mezeru v jádře operačního systému, který využívají VoIP telefony společnosti Cisco. Těch je v současné době po světě používáno zhruba 50 milionů. Jedním z nich je přitom vybaven například i americký prezidentský speciál Air Force One.

Díky skulině v operačním systému, který řídí komunikaci mezi softwarovou a hardwarovou částí zařízení, je možné ovládat telefony na dálku a odposlouchávat hovory. Cui účastníkům konference zároveň ukázal, jak jednoduše dokáže odposlouchané hovory převést do textové podoby díky funkci Voice to Text, kterou Google nabízí jako součást svého překladače.

Americký prezident Barack Obama v leteckém speciálu Air Force One a VoIP telefon od společnosti Cisco.
Autor: Wikimedia.org

Americký prezident Barack Obama v leteckém speciálu Air Force One a VoIP telefon od společnosti Cisco.

Student informoval Cisco o zranitelnosti už loni v říjnu. Firma tehdy problém potvrdila a za několik týdnu vydala bezpečnostní záplatu.

Můžeme potvrdit, že je k dispozici záplata, která řeší tuto zranitelnost. Současně bychom rádi poznamenali, že k úspěšnému využití mezery je nutný fyzický přístup k sériovému portu zařízení nebo kombinace vzdálených autentizačních práv a nestandardní nastavení nastavení přístroje.

Nicméně vzápětí Cui firmě oznámil, že objevil dalších pět způsobů, jak se do systému dostat. Tři týdny nato Cisco vydalo další bezpečnostní záplatu. Ta ale nebyla volně ke stažení z webu firmy. Zákazníci se k ní dostali pouze poté, co zavolali na infolinku a vyžádali si ji. Cui však i po vydání druhé záplaty zjistil, že ani ta problém zcela nevyřešila. Cisco však na jeho další upozornění přestalo reagovat.  

EBF16

Problém podle všeho ale nebere na lehkou váhu americká administrativa. Student totiž v současné době pracuje na vlastní záplatě, kterou financuje Agentura DARPA (Defense Advanced Research Projects Agency), která spadá pod americké ministerstvo obrany. Představena by měla být na nadcházející RSA security conference v San Francisku.

Aktualizace (12.2.2013, 17:19): Oficiální vyjádření společnosti CISCO.

Zdroj: The New York Times

6 názorů Vstoupit do diskuse
poslední názor přidán 8. 2. 2013 23:22

Školení: Obsahová strategie a content marketing

  •  
    Proč je obsahový marketing výrazným trendem.
  • Jak navrhnout užitečnou obsahovou strategii.
  • Jak zlepšit workflow a výsledky copywritingu.

Detailní informace o školení content strategy »