思科VoIP電話被曝存安全漏洞：可被遠(yuǎn)程竊聽

　　北京時間1月7日早間消息，美國哥倫比亞大學(xué)計算機(jī)科學(xué)專業(yè)博士生崔昂(Ang Cui，音)及教授薩爾瓦多·斯托弗(Salvatore Stolfo)發(fā)現(xiàn)，思科的VoIP電話中存在嚴(yán)重安全漏洞。思科這類產(chǎn)品被全球各國政府、銀行和大企業(yè)廣泛使用。

　　在近期有關(guān)互聯(lián)設(shè)備安全的一次大會上，崔昂演示了在思科VoIP電話技術(shù)中插入惡意代碼的方法，從而竊聽私人通話。這樣的竊聽可以在遠(yuǎn)離通話者的全球任何地點進(jìn)行。

　　斯托弗表示：“不僅思科的VoIP電話存在風(fēng)險，所有VoIP技術(shù)都存在問題。這樣的技術(shù)無所不在，暴露了我們的私人通信。入侵企業(yè)電話系統(tǒng)、政府電話系統(tǒng)，或任何使用思科VoIP電話的家庭都很容易，因為它們并不安全。”

　　崔昂和斯托弗分析了思科VoIP電話的固件，發(fā)現(xiàn)了多個安全漏洞。在研究中，他們對嵌入式系統(tǒng)尤為關(guān)注。這些嵌入式系統(tǒng)被廣泛用于互聯(lián)網(wǎng)設(shè)備，包括VoIP電話、路由器和打印機(jī)。他們希望開發(fā)出更先進(jìn)的安全技術(shù)，保護(hù)這些系統(tǒng)。

　　斯托弗表示：“在黑客和類似我們的安全研究員之中，二進(jìn)制固件分析被廣泛用于確定軟件漏洞。我們進(jìn)行了這樣的分析，證明了一種名為‘軟件共生’的新防御技術(shù)能保護(hù)系統(tǒng)不被攻破。”軟件共生的目的是保護(hù)路由器和打印機(jī)等設(shè)備中的嵌入式系統(tǒng)不被惡意代碼注入。

　　思科已經(jīng)發(fā)布了多個補丁嘗試修復(fù)這些漏洞，但效果不明顯。崔昂表示：“這些補丁沒有解決我們向思科指出的基本問題。除了采用軟件共生技術(shù)，或重新編寫固件之外，我們不知道是否還有其他解決這一系統(tǒng)性問題的方案。我們計劃在未來一次會議上演示由軟件共生技術(shù)保護(hù)的思科VoIP電話。”