Privacytelefoon Blackphone is lek
Een lek in de privacyvriendelijke BlackPhone van Silent Circle geeft hackers de mogelijkheid om malware op het toestel te installeren met niet veel meer dan een telefoonnummer. Het bedrijf heeft ondertussen een patch uitgebracht.
BlackPhone is het toestel dat in de markt is gezet met een extreme nadruk op veiligheid, gericht op publieke figuren, mensen die met gevoelige data in aanraking komen en iedereen die zich druk maakt over zijn privacy. Hierdoor worden BlackPhone-gebruikers logischerwijs door hackers gezien als zogenaamde high-value targets, aangezien zij hoogst waarschijnlijk iets te verbergen zullen hebben.
[related_article id=”158578″]
Het toestel draait op PrivatOS, een verstevigde versie van Android, en komt standaard met een aantal apps van Silent Circle die zorgen voor versleutelde communicatie. Het lek zat in een onderdeel van dit pakket, te weten in de app Silent Text (overigens ook beschikbaar voor de normale Androidgebruiker), dat sms-berichten versleuteld.
Door een gemanipuleerd pakketje te sturen naar een BlackPhone (waarvoor een Silent Circle ID of telefoonnummer voldoende is) ontstond een geheugenfout die de aanvaller ruimte bood om in het toestel binnen te dringen. Een zogeheten type-confusion kwetsbaarheid, die als knullig wordt gezien in de hackerwereld. Eenmaal binnen konden veilig geachte gegevens worden gedecodeerd, contacten gestolen, instellingen gewijzigd en locatiedata opgevraagd.
Het lek is ontdekt door een onderzoeker van het Australische Azimuth security, Mark Dowd, die ermee naar Silent Circle is gestapt alvorens het lek te publiceren. Het is overigens niet de eerste keer dat de BlackPhone gekraakt is.
