Schwachstellen im sicheren Messenger Threema entdeckt
Professor Kenny Paterson, Doktorand Matteo Scarlata und Masterstudent Kien Tuong Truong (zwischenzeitlich ebenfalls Doktorand) von der Gruppe für angewandte Kryptographie haben die Messenger-Anwendung Threema einer Sicherheitsanalyse unterzogen und sind dabei auf Schwachstellen gestossen.
Die ETH-Kryptographen Kenny Paterson, Matteo Scarlata und Kien Tuong Truong führten sieben Angriffe in drei verschiedenen Bedrohungsszenarien durch. So gelang es ihnen beispielsweise, die Authentifizierung in Threema zu knacken, indem sie die fehlende Trennung der Schlüssel zwischen den verschiedenen Unterprotokollen ausnutzten. Bei einem anderen Angriff gelang es den Forschern, die privaten Schlüssel von Nutzern wiederherzustellen, indem sie die Grösse der mit Threema verschlüsselten Backups über einen auf Kompression basierenden Seitenkanalangriff beobachteten. Paterson, Scarlata und Tuong Truong zeigen mit ihrer Arbeit einige der Schwierigkeiten auf, mit denen Entwickler von sicheren Nachrichtensystemen konfrontiert sind. Darüber hinaus ziehen sie drei Lehren für Entwickler von sicheren Protokollen im Allgemeinen.
externe SeiteThree Lessons from Threema: Analysis of a Secure Messenger
Hier geht es zum Artikel: externe SeiteNZZ:«Verschlüsselung hinkt Jahre hinterher»: Der Schweizer Messenger Threema setzte bis vor kurzem auf veraltete Kryptografie(09.01.2023, DE)
Über Threema
Threema ist ein in der Schweiz ansässiger Anbieter einer verschlüsselten Messenger-Anwendung mit über 10 Millionen Nutzern und 7000 Geschäftskunden. Zusammen mit Signal und Telegram wird Threema als sichere Alternative zu WhatsApp beworben. Der Messenger gehört in der Schweiz, Deutschland, Österreich, Kanada und Australien zu den Top-Android-Apps in der Kategorie "gegen Bezahlung". Die Schweizer Regierung und das Militär nutzen Threema für ihre offizielle Kommunikation. Auch deutsche Politiker, darunter der aktuelle Bundeskanzler Olaf Scholz, setzen auf den sicheren Messenger-Dienst.