Gebruikersfouten bij het communiceren via versleutelde apps ondermijnen de veiligheid van dit soort platformen, zo stellen onderzoekers van de Universiteit van Alabama. De onderzoekers keken specifiek naar de veiligheid en bruikbaarheid van apps om versleuteld te bellen, de zogenoemde crypto-apps.

Voor het opzetten van een veilige verbinding vereisen deze apps dat de gebruiker twee taken uitvoert. Als eerste moet er een checksum worden vergeleken. In dit geval moet er verbaal een aantal woorden worden vergeleken, zodat gebruikers kunnen controleren dat de opgezette sessie niet door een aanvaller is gecompromitteerd. Als dit wel zo is, zullen de vergeleken woorden namelijk niet overeenkomen.

De tweede taak die de gebruiker moet uitvoeren is het verifiëren van de beller. In dit geval moet worden gecontroleerd of de stem die de controlewoorden bij stap 1 uitsprak ook daadwerkelijk de persoon is aan de andere kant van de lijn. Fouten bij deze processen kunnen de veiligheid en bruikbaarheid van crypto-apps ondermijnen, aldus de onderzoekers.

Voor hun onderzoek 'On the Security and Usability of Crypto Phones' lieten de onderzoekers 128 mensen via een browser met elkaar bellen. Daarbij voegde ze verschillende uitdagingen toe, zoals controlewoorden die niet overeenkwamen of verschillen in de stem van de spreker. Uit de resultaten blijkt dat crypto-apps een laag beveiligingsniveau bieden en hun bruikbaarheid laag is. Gebruikers wisten in 25% tot 50% van de sessies een aanval namelijk niet te detecteren, terwijl de kans op het accepteren van een legitieme sessie ongeveer 75% was.