Navigando attraverso il sorgente su GitHub , si impara che usa ZRTP.
Da Quali sono le vulnerabilità specifiche di VOIP protocolli di sicurezza? :
Prateek Gupta, Vitaly Shmatikov (2006) Security Analysis of Voice-over-IP Protocols
We also demonstrate a man-in-the-middle attack on ZRTP which disables authentication and allows the attacker to impersonate a ZRTP user and establish a shared key with another user.
Per la crittografia, si basa su Spongy Castle v.1.46.99.3-UNOFFICIAL-ROBERTO-RELEASE
L'upstream di Spongy Castle, Bouncy Castle, ha il seguente CVE contro il suo capo:
CVE-2013-1624
Summary: The TLS implementation in the Bouncy Castle Java library before 1.48 and C# library before 1.8 does not properly consider timing side-channel attacks on a noncompliant MAC check operation during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, a related issue to CVE-2013-0169.
Published: 02/08/2013
CVSS Severity: 4.0 (MEDIUM)
Il software utilizza Speex e G.711 codec come sorgente. A seconda del codec, non solo i metadati, ma anche la lingua e il contenuto del dialogo possono essere dedotti perché il codec Speex utilizza la codifica VBR (Variable Bit Rate) (combinata con Qualsiasi rilevamento di attività e generazione di rumore di comfort, per essere più precisi) (vedi il link Q & A per i dettagli).
Ti consiglio comunque di guardare attraverso la fonte, invece di affidarti a estranei ...