L'application de messagerie sécurisée SilentText livrée avec le Blackphone présentait une sérieuse vulnérabilité qui aurait permis à des attaquants de décrypter les messages, lire les informations de contact, recueillir des données de localisation et même exécuter du code malveillant sur le téléphone. La faille, qui a été corrigée avant d'être rendue public, montre que, même les terminaux construits avec des exigences de sécurité et de confidentialité très élevées peuvent abriter de graves défauts qui compromettent leurs défenses. C'est le cas du Blackphone, ce smartphone haut de gamme sur lequel tourne une version modifiée et verrouillée d'Android appelée PrivatOS. L'appareil est également livré avec des applications de messagerie avec un cryptage de bout en bout pour les messages texte, les appels audio et vidéo pour les conférences, et bénéficie d'un stockage en ligne sécurisé. Le terminal mobile est fabriqué par le constructeur suisse SGP Technologies, en fait une co-entreprise entre le fournisseur de services de communications cryptées Silent Circle, et le fabricant espagnol de téléphones GeeksPhone.

La vulnérabilité identifiée dans SilentText, l'une des applications fournies avec le Blackphone, a été découverte par Mark Dowd, fondateur du cabinet-conseil en sécurité australien Azimuth Security. « En parcourant le BlackPhone que j'ai acheté récemment, j'ai découvert une sérieuse vulnérabilité de corruption de mémoire dans l'application de messagerie pouvant être activée à distance par un attaquant », a déclaré le consultant dans un blog où il explique la technique d'attaque pour exploiter ce genre de vulnérabilité. « Si elle est exploitée avec succès, la faille peut être utilisée pour exécuter du code arbitraire à distance sur le mobile ciblé ». En exécutant le code malveillant dans l'application SilentText, un attaquant aurait pu s'octroyer des privilèges élevés. « Cela signifie qu'il aurait pu décrypter les messages texte, récupérer des informations de localisation, accéder aux contacts du téléphone et même écrire sur le support de stockage externe », a expliqué le consultant. Et si l'attaquant savait en plus qu'il était possible d'exploiter une faille d'escalade de privilège sous Android qui affecte aussi PrivatOS, alors il aurait pu s'attribuer un accès root ou un accès kernel sur l'appareil et prendre le contrôle total du mobile.

La seule chose dont un attaquant a besoin pour exploiter la vulnérabilité dans SilentText, c'est l'identifiant Silent Circle ID ou le numéro de téléphone de sa cible. « Désormais, ce problème est corrigé à la fois dans Silent Circle et sur le Blackphone. Des mises à jour sont disponibles sur les app stores respectifs », a déclaré Mark Dowd. Les utilisateurs de Blackphone peuvent mettre à jour leur mobile avec la dernière version du firmware en suivant les instructions disponibles sur le site du produit. Ce n'est pas la première vulnérabilité découverte dans le Blackphone, mais c'est probablement l'une des plus graves trouvée à ce jour. Silent Circle et SGP Technologies organisent tous deux des programmes de chasse aux bogues pour leurs produits respectifs via la plateforme Bugcrowd et récompensent des développeurs qui font remonter les vulnérabilités. Selon les statistiques publiées sur le site Bugcrowd, jusqu'ici, 25 bogues ont été remontés sur le Blackphone et 37 pour les applications et services de Silent Circle.