據(jù)美國媒體報道�,哥倫比亞大學(xué)工程學(xué)院的計算機科學(xué)博士研究生崔昂(Ang Cui)和計算機科學(xué)教授薩爾瓦托·斯多夫(Salvatore Stolfo)發(fā)現(xiàn),在思科VoIP電話中存在嚴重漏洞����。該設(shè)備廣泛使用在世界各地的聯(lián)網(wǎng)組織——從政府、銀行到大公司等��。
尤其是�,他們發(fā)現(xiàn)思科VoIP電話技術(shù)存在令人不安的安全漏洞。在最近一次聯(lián)網(wǎng)設(shè)備安全會議上��,崔證明了他們可以輕易地將惡意代碼植入到思科VoIP電話中(思科14款Unified IP Phone型號中任何一款)���,并可從世界任何角落竊聽私人談話——不僅是竊聽電話里的聲音�����,而且可竊聽手機周圍環(huán)境里的聲音����。
斯多夫稱:“不僅思科的手機處于危險中,所有VoIP電話都有問題����,因為這些設(shè)備無處不在,能泄露我們的私人通信����。滲透到使用思科VoIP電話的企業(yè)電話系統(tǒng)、政府電話系統(tǒng)和家庭都比較容易——這些設(shè)備不安全��。”
崔和斯多夫分析了手機的固件得以發(fā)現(xiàn)很多漏洞�����。他們特別擔(dān)心被廣泛使用并連接了互聯(lián)網(wǎng)的嵌入式系統(tǒng)��,包括VoIP電話����、路由器和打印機等��,并將他們的研究重點放在開發(fā)新的先進安全技術(shù)上�����,以保護這些系統(tǒng)。
斯多夫稱:“‘白帽’黑客�����、安全科學(xué)家和像我們團隊一樣的研究人員��,通常利用二進制固件分析鑒別有缺陷軟件��。我們搞這個分析是為了論證新的被稱為Software Symbiotes的防衛(wèi)技術(shù)�����,使設(shè)備免于被攻擊���。”Software Symbiotes可保護嵌入式系統(tǒng)�����,使路由器和打印機等系統(tǒng)免受惡意代碼攻擊�。
此后思科發(fā)布了補丁來修復(fù)這些漏洞��,但沒有效果���。崔表示: “補丁不能解決我們向思科指出的根本問題���。除了Symbiote技術(shù)或重寫固件��,我們不知道還有其他解決方案���,解決思科IP Phone固件的系統(tǒng)問題。我們計劃在下次會議上演示Symbiote保護的思科IP Phone�。”
崔昂和薩爾瓦托·斯多夫進行的這個研究項目由DARPA(美國國防部高級研究計劃局)、IARPA(情報先進研究計劃署)和國土安全部提供資金����。
