Veel telefoonapplicaties waarmee gebruikers versleuteld kunnen communiceren bevatten ernstige beveiligingslekken waardoor aanvallers op afstand het toestel kunnen overnemen. De kwetsbaarheden in de GNU ZRTPCPP library werden ontdekt door beveiligingsonderzoeker Mark Dowd. ZRTPCPP is een library die het ZRTP protocol implementeert.

Het is ontwikkeld door PGP-bedenker Phil Zimmermann en zorgt ervoor dat er een veilige sessie over een bestaande verbinding wordt gemaakt. De ZRTPCPP library wordt onder andere in Silent Circle gebruikt, een door Zimmermann ontwikkelde dienst die gebruikers volledig versleuteld laat bellen.

Ook andere programma's zoals CSipSimple, LinPhone, TiVi, Twinkle en andere apps die de GNU ccRTP library gebruiken zijn kwetsbaar. Gebruikers van deze software willen hiermee voorkomen dat anderen hun gesprekken kunnen afluisteren, maar kunnen door de ontdekte lekken juist worden aangevallen.

Blogposting
Een aanvaller kan door de kwetsbaarheden op afstand en zonder enige authenticatie willekeurige code op het apparaat uitvoeren waarop de crypto-phone app draait. Zo zou er bijvoorbeeld spyware kunnen worden geïnstalleerd die alle gesprekken afluistert. Inmiddels zijn de lekken in de ZRTPCPP library en SilentCircle verholpen.

Dowd publiceerde daarop een blogposting met allerlei details, maar besloot die na publicatie toch weer te verwijderen, om andere getroffen leveranciers en ontwikkelaars de tijd te geven hun software te patchen. De details zijn echter in de cache van Google en op verschillende websites te vinden.