12.01.2023 Schwachstellen in Threema werden behoben
Jammern auf hohem Niveau
Als Alternative zu der Datenkrake WhatsApp haben wir neben Briar, Session, Conversation u.v.a. auch oft den Schweizer Messenger Threema empfohlen - und das tun wir trotz dieses Artikels auch weiterhin.
Eine Gruppe Schweizer Forscher um den ETH-Professor Kenneth Paterson hat sich die Sicherheitsfeatures von Threema einmal genauer angesehen und festgestellt, dass sich das Unternehmen sehr wohl um die Datensicherheit kümmert, aber die Anwendung doch in die Jahre gekommen ist.
Weiterhin wird die Ende-zu-Ende Verschlüsselung, die Threema damals 2012 als einer der ersten Messenger einführte, als wegweisend anerkannt. Für bestimmte Angriffszenarien können die Forscher jedoch zeigen, dass für die Sicherheit bei Threema "noch Luft nach oben besteht".
- So könnten Angreifer auf die Metadaten der Kommunikation zugreifen.
- Bei Zugriff auf die Chat-Server von Threema könnten sie Nachrichten löschen oder deren Reihenfolge ändern.
- Grenzbeamte oder Lebenspartner, die Zugriff auf das Smartphone und die Threema-App haben, könnten unbemerkt die Threema-ID exportieren und damit den Account klonen. (Grenzbeamte nur wenn man so blöd ist, den Ausweis auf dem Handy zu nutzen!)
Bei allen 6 von den Forschern benannten Schwachpunkten ist es jedoch nicht möglich, die Inhalte der Kommunikation zu lesen. Dies kann nur passieren, wenn der Nutzer seinen privaten Schlüssel gegenüber einem Angreifer offenbart. Für solche Fälle empfehlen die Forscher eine inzwischen gängige Methode der Absicherung der einzelnen Nachricht mit einem für jede Nachricht oder zumindest in regelmässigen Abständen erneuerten Private Key. Fällt in so einem Fall der Private Key in die Hände eines Angreifers, so können damit keine älteren Nachrichten entschlüsselt werden (Perfect Forward Secrecy).
Bei Threema läuft nun seit einige Monaten eine Überprüfung der eigenen Sicherheit und einige Beanstandungen wurde auch bereits behoben. Das ging in jedem Fall viel schneller als Verbesserungen in die Verschlüsselung von normaler E-Mail einzuführen. So hat da die Einbeziehung der Verschlüsselung der Betreffzeile Jahre gedauert und ist immer noch "optional". Das ist der Nachteil, wenn kein Unternehmen um seinen Geschäftserfolg bangt, sondern die Open Source Gemeinde sich auf Erweiterungen in einen 40 Jahre alten Standard einigen will.
Mehr dazu bei https://www.nzz.ch/technologie/threema-schweizer-messenger-hatte-schwaechen-bei-verschluesselung-ld.1719543
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3rS
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.htm
Tags: #Schwachstellen #Threema #Datensicherheit #Transparenz #Informationsfreiheit #Anonymisierung #Datenpannen #Verbraucherdatenschutz #Datenschutz #Privatsphäre #Verschlüsselung #Smartphone #Handy #Cyberwar #Hacking #Identitätsdiebstahl