Beveiligde telefoon-app SilentCircle bevat kwetsbaarheden

De app van SilentCircle waarmee communicatie tegen afluisteren kan worden beschermd, bevat een serieuze kwetsbaarheid.

Onderzoeker Mark Dowd van Azimuth Security ontdekte een aantal kwetsbaarheden in de softwarebibliotheek ZRTPCCP, die de basis voor versleutelde communicatie via de app vormt.

Onder de kwetsbaarheden bevinden zich fouten zoals ‘remote heap overflow’, een aantal ‘stack overflows’ en het ongewenst lekken van gegevens. Ook applicaties van LinPhone, CsipSimple, Twinkle en Ostel maken gebruik van de bibliotheek en zijn kwetsbaar.

Het ZRTP protocol is ontwikkeld door Zimmerman en is onderdeel van de ‘GNU secure telephony stack’. Hiermee wordt door de applicatie een RTP-sessie opgezet waarmee gecontroleerde en versleutelde communicaite mogelijk is.

Een update voor de bibliotheek waarin de kwetsbaarheden zijn verholpen is inmiddels beschikbaar op Github. SilentCirle heeft inmiddels ook een update voor haar apps uitgebracht voor Apple iOS en Android.

Aanmelden voor onze nieuwsbrief