据美国媒体报道,哥伦比亚大学工程学院的计算机科学博士研究生崔昂(Ang Cui)和计算机科学教授萨尔瓦托·斯多夫(Salvatore Stolfo)发现,在思科VoIP电话中存在严重漏洞。该设备广泛使用在世界各地的联网组织——从政府、银行到大公司等。
尤其是,他们发现思科VoIP电话技术存在令人不安的安全漏洞。在最近一次联网设备安全会议上,崔证明了他们可以轻易地将恶意代码植入到思科VoIP电话中(思科14款Unified IP Phone型号中任何一款),并可从世界任何角落窃听私人谈话——不仅是窃听电话里的声音,而且可窃听手机周围环境里的声音。
斯多夫称:“不仅思科的手机处于危险中,所有VoIP电话都有问题,因为这些设备无处不在,能泄露我们的私人通信。渗透到使用思科VoIP电话的企业电话系统、政府电话系统和家庭都比较容易——这些设备不安全。”
崔和斯多夫分析了手机的固件得以发现很多漏洞。他们特别担心被广泛使用并连接了互联网的嵌入式系统,包括VoIP电话、路由器和打印机等,并将他们的研究重点放在开发新的先进安全技术上,以保护这些系统。
斯多夫称:“‘白帽’黑客、安全科学家和像我们团队一样的研究人员,通常利用二进制固件分析鉴别有缺陷软件。我们搞这个分析是为了论证新的被称为Software Symbiotes的防卫技术,使设备免于被攻击。”Software Symbiotes可保护嵌入式系统,使路由器和打印机等系统免受恶意代码攻击。
此后思科发布了补丁来修复这些漏洞,但没有效果。崔表示: “补丁不能解决我们向思科指出的根本问题。除了Symbiote技术或重写固件,我们不知道还有其他解决方案,解决思科IP Phone固件的系统问题。我们计划在下次会议上演示Symbiote保护的思科IP Phone。”
崔昂和萨尔瓦托·斯多夫进行的这个研究项目由DARPA(美国国防部高级研究计划局)、IARPA(情报先进研究计划署)和国土安全部提供资金。
