|
北京時間1月7日早間消息��,美國哥倫比亞大學計算機科學專業(yè)博士生崔昂(Ang
Cui����,音)及教授薩爾瓦多·斯托弗(Salvatore
Stolfo)發(fā)現(xiàn),思科的VoIP電話中存在嚴重安全漏洞���。思科這類產(chǎn)品被全球各國政府�、銀行和大企業(yè)廣泛使用�。
在近期有關互聯(lián)設備安全的一次大會上����,崔昂演示了在思科VoIP電話技術中插入惡意代碼的方法���,從而竊聽私人通話。這樣的竊聽可以在遠離通話者的全球任何地點進行�。
斯托弗表示:“不僅思科的VoIP電話存在風險,所有VoIP技術都存在問題��。這樣的技術無所不在��,暴露了我們的私人通信����。入侵企業(yè)電話系統(tǒng)����、政府電話系統(tǒng),或任何使用思科VoIP電話的家庭都很容易��,因為它們并不安全��������!
崔昂和斯托弗分析了思科VoIP電話的固件��,發(fā)現(xiàn)了多個安全漏洞���。在研究中��,他們對嵌入式系統(tǒng)尤為關注���。這些嵌入式系統(tǒng)被廣泛用于互聯(lián)網(wǎng)設備�����,包括VoIP電話����、路由器和打印機。他們希望開發(fā)出更先進的安全技術����,保護這些系統(tǒng)����。
斯托弗表示:“在黑客和類似我們的安全研究員之中��,二進制固件分析被廣泛用于確定軟件漏洞�����。我們進行了這樣的分析�����,證明了一種名為‘軟件共生’的新防御技術能保護系統(tǒng)不被攻破��������!避浖采哪康氖潜Wo路由器和打印機等設備中的嵌入式系統(tǒng)不被惡意代碼注入。
思科已經(jīng)發(fā)布了多個補丁嘗試修復這些漏洞��,但效果不明顯���。崔昂表示:“這些補丁沒有解決我們向思科指出的基本問題�。除了采用軟件共生技術,或重新編寫固件之外�,我們不知道是否還有其他解決這一系統(tǒng)性問題的方案�����。我們計劃在未來一次會議上演示由軟件共生技術保護的思科VoIP電話�。”
|