Dat er wel eens een gat opduikt in de versleutelde smartphone BlackPhone is logisch. De software van Silent Circle die ermee wordt uitgeleverd is natuurlijk code en foutloze code is een utopie. Honderd procent veilig bestaat dan ook niet, maar zo'n BlackPhone is als je om privacy geeft al stukken beter dan een 'normale' smartphone zonder end-to-end versleuteling.

Contacten en sms'jes te roven

In het nieuwe geval vond een onderzoeker met een BlackPhone de kwetsbaarheid in de app om versleutelde sms'jes te versturen, Silent Text. Met een exploit konden eventuele aanvallers niet alleen sms'jes alsnog ontsleutelen en contacten achterhalen, maar ook het Silent Circle-account van de gebruiker in handen krijgen.

Een exploit zou bovendien extra pijnlijk zijn omdat de gebruiker niet naar bijvoorbeeld een malwarepagina gelokt hoeft te worden. De inlichtingendienst snoodaard die de versleutelde communicatie wil grijpen hoeft alleen maar het Silent Circle-ID of telefoonnummer van de gebruiker te weten om de aanval uit te voeren.

Gat gedicht

Net als daags nadat een lastig te misbruiken gat op DEF CON werd onthuld, waarbij gebruikers roottoegang konden verkrijgen op een BlackPhone, is ook deze kwetsbaarheid alweer gedicht. De onderzoeker nam contact op met Silent Circle om het lek te dichten voordat hij de zaak onthulde.