“Nic nie widzimy, nic nie słyszymy, nic nie mówimy” zdaje się być mottem niemieckiego rządu i Komisji UE w obliczu exploitów zero-day, będących najwyraźniej w posiadaniu Federalnego Urzędu Policji Kryminalnej (Bundeskriminalamt BKA) i Centralnego Urzędu Informatyki w Sektorze Bezpieczeństwa (Zentrale Stelle für Informationstechnik im Sicherheitsbereich -Zitis). BKA i Zitis pracują bowiem, razem z holenderskim Instytutem Kryminalistyki, norweską policją i francuską firmą Synacktiv nad finansowanym głównie przez UE projektem Overclock, zajmującym się dostępem do zaszyfrowanych smarfonów w czasie rzeczywistym. Przewidziany na 36 miesięcy projekt wystartował w październiku 2021 roku pod kierownictwem francuskiego Ministerstwa Spraw Wewnętrznych. Nawiązuje do inicjatywy Cerberus. BKA ma być również zaangażowany w podobny projekt UE Exfiles, także zajmujący się exploitami na smartfony.

Według oficjalnego opisu projekt Overclock (skrót od: Awangarda operacyjna: Wykorzystanie badań nad szyfrowaniem do walki z przestępczością (“Lockdown”)) ma za zadanie umożliwiać wydobycie dających się odczytać danych z dobrze zabezpieczonych urządzeń informatycznych przestępców “poprzez odkrywanie luk technicznych i inżynierię wsteczną aplikacji wykorzystywanych przez sieci przestępcze”. “Specjalny exploit” ma umożliwić dostęp w czasie rzeczywistym bez konieczności łamania haseł i fizycznego dostępu do urządzenia.

W związku z powyższym Sven Herpig, ekspert ds. bezpieczeństwa w Stiftung Neue Verantwortung (Fundacja Nowa Odpowiedzialność) przyjął, że osoby zaangażowane w Overclock znalazły luki zero-day “w specjalnie przystosowanych smartfonach i ich podstawowych wersjach”. Chodzi o szczególnie niebezpieczne, bo nieznane społeczeństwu luki w zabezpieczeniach. Europosłanka Cornelia Ernst spytała w październiku Komisję Europejską, jakie dokładnie luki są wykorzystywane w projekcie. Odpowiedź komisarki do spraw wewnętrznych Ylvy Johansson przyszła w styczniu i przeczy oficjalnemu opisowi projektu: “Overclock nie służy do badania lub rozwijania jakiejkolwiek formy oprogramowania szpiegowskiego lub dostępu w czasie rzeczywistym do urządzeń szyfrowanych.” Według niej projekt ma służyć jedynie dostarczeniu wytycznych dot. postępowania na miejscu przestępstwa i być dostępny dla organów ścigania na specjalnej platformie Europolu.

Herpig założył więc, że skoro Overclock szuka exploitów zero-day, to zaangażowane w projekt BKA i Zitis również mają dostęp do takich informacji i znają podatności w badanych urządzeniach. Mimo interwencji niemieckich parlamentarzystów i parlamentarzystek (zadawanie pytań, poinformowanie polityków partii koalicyjnej, że Overclock “przygląda się najnowocześniejszym metodom wyszukiwania haseł i optymalizuje je dla platformy Europolu”), przedstawiciele władz niemieckich wciąż twierdzą, że rząd federalny “nie ma wiedzy” o takich lukach bezpieczeństwa w kontekście omawianego projektu. Ministerstwo Spraw Wewnętrznych stwierdziło, że BSI (Urząd Bezpieceństwa Informacji) “nie jest świadomy żadnej luki bezpieczeństwa znalezionej przez organ federalny, o której producent [urządzenia] nie zostałby poinformowany”. Wcześniej rząd otwarcie opowiadał się przeciwko utrzymywaniu lub wykorzystywaniu otwartych luk w zabezpieczeniach.