DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo taz We at Mastodon A-FsA Song RSS Twitter Youtube Tumblr Flickr Wikipedia Donation Facebook Bitmessage Betterplace Tor-Netzwerk https-everywhere
12.01.2023 Schwachstellen in Threema werden behoben
Sorry, most articles are not available in English yet

Jammern auf hohem Niveau

Als Alternative zu der Datenkrake WhatsApp haben wir neben Briar, Session, Conversation u.v.a. auch oft den Schweizer Messenger Threema empfohlen - und das tun wir trotz dieses Artikels auch weiterhin.

Eine Gruppe Schweizer Forscher um den ETH-Professor Kenneth Paterson hat sich die Sicherheitsfeatures von Threema  einmal genauer angesehen und festgestellt, dass sich das Unternehmen sehr wohl um die Datensicherheit kümmert, aber die Anwendung doch in die Jahre gekommen ist.

Weiterhin wird die Ende-zu-Ende Verschlüsselung, die Threema damals 2012 als einer der ersten Messenger einführte, als wegweisend anerkannt. Für bestimmte Angriffszenarien können die Forscher jedoch zeigen, dass für die Sicherheit bei Threema "noch Luft nach oben besteht".

  • So könnten Angreifer auf die Metadaten der Kommunikation zugreifen.
  • Bei Zugriff auf die Chat-Server von Threema könnten sie Nachrichten löschen oder deren Reihenfolge ändern.
  • Grenzbeamte oder Lebenspartner, die Zugriff auf das Smartphone und die Threema-App haben, könnten unbemerkt die Threema-ID exportieren und damit den Account klonen. (Grenzbeamte nur wenn man so blöd ist, den Ausweis auf dem Handy zu nutzen!)

Bei allen 6 von den Forschern benannten Schwachpunkten ist es jedoch nicht möglich, die Inhalte der Kommunikation zu lesen. Dies kann nur passieren, wenn der Nutzer seinen privaten Schlüssel gegenüber einem Angreifer offenbart. Für solche Fälle empfehlen die Forscher eine inzwischen gängige Methode der Absicherung der einzelnen Nachricht mit einem für jede Nachricht oder zumindest in regelmässigen Abständen erneuerten Private Key. Fällt in so einem Fall der Private Key in die Hände eines Angreifers, so können damit keine älteren Nachrichten entschlüsselt werden (Perfect Forward Secrecy).

Bei Threema läuft nun seit einige Monaten eine Überprüfung  der eigenen Sicherheit und einige Beanstandungen wurde auch bereits behoben. Das ging in jedem Fall viel schneller als Verbesserungen in die Verschlüsselung von normaler E-Mail einzuführen. So hat da die Einbeziehung der Verschlüsselung der Betreffzeile Jahre gedauert und ist immer noch "optional". Das ist der Nachteil, wenn kein Unternehmen um seinen Geschäftserfolg bangt, sondern die Open Source Gemeinde sich auf Erweiterungen in einen 40 Jahre alten Standard einigen will.

Mehr dazu bei https://www.nzz.ch/technologie/threema-schweizer-messenger-hatte-schwaechen-bei-verschluesselung-ld.1719543

Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/3rS
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.html
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.html
Tags: #Schwachstellen #Threema #Datensicherheit #Transparenz #Informationsfreiheit #Anonymisierung #Datenpannen #Verbraucherdatenschutz #Datenschutz #Privatsphäre #Verschlüsselung #Smartphone #Handy #Cyberwar #Hacking #Identitätsdiebstahl
Created: 2023-01-12 09:34:17 Hits: 398
Leave a Comment

 If you like a crypted answer you may copy your
public key into this field. (Optional)
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

CC license   European Civil Liberties Network   Bundesfreiwilligendienst   We don't store your data   World Beyond War   Use Tor router   Use HTTPS   No Java   For Transparency

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst We don't store user data World Beyond War Tor - The onion router HTTPS - use encrypted connections We don't use JavaScript For transparency in the civil society