Blackphone aveva una falla

Nato dalla reazione al Datagate di Silent Circle e del padre di PGP Phil Zimmerman , era stato annunciato come un dispositivo mobile capace di tutelare la privacy dei cittadini, almeno di coloro che sapessero riconoscerne il valore : Blackphone, però, prestava il fianco ad un exploit capace di renderlo accessibile a qualsiasi malintenzionato.

A scovare il bug è stato Mark Dowd dell’australiana Azimuth Security: analizzando il Blackphone recentemente acquistato, nel giro di una settimana ha individuato un problema che colpiva l’applicazione dedicata alla messaggistica cifrata, SilentText, disponibile anche per gli utenti Android attraverso Google Play. Il bug implicava possibilità di corruzione della memoria e che avrebbe permesso di decifrare i messaggi, ottenere informazioni relative alla localizzazione e ai contatti, alterare i file stoccati sulla memoria esterna e far girare codice a scelta per guadagnare il controllo del terminale. Per essere sfruttato necessitava solo di conoscere il numero di telefono o l’ID Silent Circle della potenziale vittima.

Dowd ha provveduto per tempo a informare Silent Circle del problema, e a sua volta Silent Circle si è adoperata per sistemare il bug e mettere a disposizione gli aggiornamenti del caso.

Non si tratta della prima occasione in cui Blackphone si dimostra fallibile: in occasione della conferenza Black Hat, proprio mentre Zimmerman prospettava un futuro protetto dalle tecnologie crittografiche, andava in scena il rooting del dispositivo. Del resto, Silent Circle è pienamente consapevole del fatto che l’assoluta sicurezza non possa sussistere: esiste però la collaborazione della community, e il programma dedicato a premiare i bug hunter serve a stimolarla, insieme alla prontezza degli sviluppatori nel reagire.

Gaia Bottà