Threema, die Schweizer Alternative zu Whatsapp und Co., die als besonders sicher eingestuft und deshalb seit 2019 zum Beispiel auch von der Schweizer Bundesverwaltung eingesetzt wird, könnte doch nicht so sicher sein, wie gerne proklamiert. Denn eine Forschungsgruppe rund um den ETH-Professor Kenneth Paterson hat den Messaging-Dienst nun unter die Lupe genommen und kommt zum Schluss, dass das Konzept der Verschlüsselung grundlegende Schwächen aufzeigt, wie die "NZZ"
berichtet. Demnach hinke die Verschlüsselung mehrere Jahre hinterher, gerade im Vergleich zum Konkurrenzdienst Signal. Eine rund sechs Monate dauernde Untersuchung, die analysiert habe, wie die Verschlüsselung in konkreten Anwendungen zum Einsatz kommt, hat sechs neue Schwachstellen von
Threema aufgedeckt.
Diese Lücken erlauben es Angreifern unter anderem, die Metadaten der Kommunikation mitzulesen. Und wenn Angreifer in den Chat-Server von
Threema eindringen konnten, was etwa bei staatlichen Gruppen gut möglich sei, dann könnten sie Nachrichten löschen oder die Reihenfolge dieser ändern. Aber auch ein unbemerktes Klonen eines Threema-Accounts ist für die Forscher ein durchaus denkbares Szenario.
Threema-CEO Martin Blatter betont gegenüber der "NZZ", dass die Erkenntnisse der Forscher nicht gravierend, sondern rein akademischer Natur seien. Denn mit den Schwachstellen könnten Angreifer nicht an die Inhalte der Chats gelangen. Doch gemäss ETH-Forscher Kenneth Paterson stellt sich die Frage, ob es Threema an einem tiefergehenden Verständnis von Kryptografie fehle. Denn die verwendeten Kommunikationsprotokolle seien ungenügend überprüft worden und entsprächen nicht mehr dem heutigen Stand der Dinge. Die ETH-Forscher haben Threema ihre Erkenntnisse im Oktober 2022 gemeldet, der Messaging-Dienst hat die Schwachstellen
nach eigenen Angaben inzwischen behoben.
(abr)
