DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
12.01.2023 Schwachstellen in Threema werden behoben

Jammern auf hohem Niveau

Als Alternative zu der Datenkrake WhatsApp haben wir neben Briar, Session, Conversation u.v.a. auch oft den Schweizer Messenger Threema empfohlen - und das tun wir trotz dieses Artikels auch weiterhin.

Eine Gruppe Schweizer Forscher um den ETH-Professor Kenneth Paterson hat sich die Sicherheitsfeatures von Threema  einmal genauer angesehen und festgestellt, dass sich das Unternehmen sehr wohl um die Datensicherheit kümmert, aber die Anwendung doch in die Jahre gekommen ist.

Weiterhin wird die Ende-zu-Ende Verschlüsselung, die Threema damals 2012 als einer der ersten Messenger einführte, als wegweisend anerkannt. Für bestimmte Angriffszenarien können die Forscher jedoch zeigen, dass für die Sicherheit bei Threema "noch Luft nach oben besteht".

  • So könnten Angreifer auf die Metadaten der Kommunikation zugreifen.
  • Bei Zugriff auf die Chat-Server von Threema könnten sie Nachrichten löschen oder deren Reihenfolge ändern.
  • Grenzbeamte oder Lebenspartner, die Zugriff auf das Smartphone und die Threema-App haben, könnten unbemerkt die Threema-ID exportieren und damit den Account klonen. (Grenzbeamte nur wenn man so blöd ist, den Ausweis auf dem Handy zu nutzen!)

Bei allen 6 von den Forschern benannten Schwachpunkten ist es jedoch nicht möglich, die Inhalte der Kommunikation zu lesen. Dies kann nur passieren, wenn der Nutzer seinen privaten Schlüssel gegenüber einem Angreifer offenbart. Für solche Fälle empfehlen die Forscher eine inzwischen gängige Methode der Absicherung der einzelnen Nachricht mit einem für jede Nachricht oder zumindest in regelmässigen Abständen erneuerten Private Key. Fällt in so einem Fall der Private Key in die Hände eines Angreifers, so können damit keine älteren Nachrichten entschlüsselt werden (Perfect Forward Secrecy).

Bei Threema läuft nun seit einige Monaten eine Überprüfung  der eigenen Sicherheit und einige Beanstandungen wurde auch bereits behoben. Das ging in jedem Fall viel schneller als Verbesserungen in die Verschlüsselung von normaler E-Mail einzuführen. So hat da die Einbeziehung der Verschlüsselung der Betreffzeile Jahre gedauert und ist immer noch "optional". Das ist der Nachteil, wenn kein Unternehmen um seinen Geschäftserfolg bangt, sondern die Open Source Gemeinde sich auf Erweiterungen in einen 40 Jahre alten Standard einigen will.

Mehr dazu bei https://www.nzz.ch/technologie/threema-schweizer-messenger-hatte-schwaechen-bei-verschluesselung-ld.1719543


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3rS
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.htm
Tags: #Schwachstellen #Threema #Datensicherheit #Transparenz #Informationsfreiheit #Anonymisierung #Datenpannen #Verbraucherdatenschutz #Datenschutz #Privatsphäre #Verschlüsselung #Smartphone #Handy #Cyberwar #Hacking #Identitätsdiebstahl
Erstellt: 2023-01-12 09:34:17
Aufrufe: 253

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft