思科网络电话存在安全漏洞 或被变成窃听装置

北京时间1月7日消息，据国外媒体报道，据哥伦比亚大学的研究员们称，美国很多公司使用的高科技电话都可能被入侵并转变成窃听装置。他们所说的高科技电话指的是思科的VoIP电话。

研究员们称，他们可以利用思科VoIP电话中的漏洞在全球任何地点发起攻击，开启目标电话的麦克风并窃听通话内容。他们说，要求只有一个，就是目标电话必须连网。

这个漏洞是由哥伦比亚大学的在读博士研究生安格崔（Ang Cui）和教授沙尔斯托佛（Sal Stolfo）在为美国国防部工作时发现的。他们说，他们可以遥控命令一部已经被入侵的电话去做他们想做的任何事，并且利用软件来掩盖他们的行踪。例如，他们可以打开目标电话上配备的摄像头，或在目标电话的麦克风处于开启的状态下让电话的LED指示灯处于关闭状态，这样被监听的用户就不会发现自己被监听了。

这个软件与思科VoIP电话上运行的软件有关。思科已经发表声明证实了这一点，但它并没有透露到底有多少部电话受到了影响。思科在今年早些时候发表的一篇博客文章中称，它的VoIP电话销量已经超过了5000万部。

思科在12月份发送给付费用户的一份声明中列出了15款受到这个问题影响的电话。斯塔佛说“你们可以想象到这个问题的影响范围有多大，不管用户的通话内容有多敏感，门后的任何事都不再是隐私了。象那样的话，你还怎么能够正常做生意呢？”

思科在声明中指出，公司正在开发相应的解决方案，并将在下周发布一份安全通告。斯塔佛对思科处理这个问题的速度表示非常担忧。

安格崔12月29日在德国混沌通信大会上演示了电话入侵的过程，他展示了思科电话被政府和军方利用的一些案例，但他也指出，现在还没有办法弄清那些电话是否会受到攻击。

斯塔佛说“不利的是，这些电话是在全球范围销售的。任何国家的政府都可以利用这种方式去窥探国民的个人生活。这是创建廉价监控系统的一次好机会。当你将这些电话转变成窃听设备后，它就是一种免费的监控基础设施。”

安格崔和斯塔佛没有公开他们编写的攻击代码，潜在的网络犯罪分子现在还不能拣现成的便宜去攻击思科的电话，而且现在也没有迹象表明已经有黑客研究出了利用这个漏洞的方法。他们相信总有人会开发出能够利用这个漏洞的代码，而且安格崔认为那样的事情可能已经发生了。

安格崔和斯塔佛进行的研究是由美国国防部下属的国防高级研究规划局（DARPA）授权在哥伦比亚大学工程与应用科学学院的计算机科学系进行的。