在近期有关互联设备安全的一次大会上,崔昂演示了在思科VoIP电话技术中插入恶意代码的方法,从而窃听私人通话。这样的窃听可以在远离通话者的全球任何地点进行。
斯托弗表示:“不仅思科的VoIP电话存在风险,所有VoIP技术都存在问题。这样的技术无所不在,暴露了我们的私人通信。入侵企业电话系统、政府电话系统,或任何使用思科VoIP电话的家庭都很容易,因为它们并不安全。”
崔昂和斯托弗分析了思科VoIP电话的固件,发现了多个安全漏洞。在研究中,他们对嵌入式系统尤为关注。这些嵌入式系统被广泛用于互联网设备,包括VoIP电话、路由器和打印机。他们希望开发出更先进的安全技术,保护这些系统。
斯托弗表示:“在黑客和类似我们的安全研究员之中,二进制固件分析被广泛用于确定软件漏洞。我们进行了这样的分析,证明了一种名为‘软件共生’的新防御技术能保护系统不被攻破。”软件共生的目的是保护路由器和打印机等设备中的嵌入式系统不被恶意代码注入。
思科已经发布了多个补丁尝试修复这些漏洞,但效果不明显。崔昂表示:“这些补丁没有解决我们向思科指出的基本问题。除了采用软件共生技术,或重新编写固件之外,我们不知道是否还有其他解决这一系统性问题的方案。我们计划在未来一次会议上演示由软件共生技术保护的思科VoIP电话。