ETH-Forscher decken Threema-Schwachstellen auf
Quelle: Threema

ETH-Forscher decken Threema-Schwachstellen auf

Forscher der ETH haben entdeckt, dass bei Threema bis vor kurzem veraltete Kommunikationsprotokolle zum Einsatz kamen, und haben sechs Schwachstellen aufgedeckt. Diese seien mittlerweile aber behoben, heisst es von Seiten Threemas.
10. Januar 2023

     

Threema, die Schweizer Alternative zu Whatsapp und Co., die als besonders sicher eingestuft und deshalb seit 2019 zum Beispiel auch von der Schweizer Bundesverwaltung eingesetzt wird, könnte doch nicht so sicher sein, wie gerne proklamiert. Denn eine Forschungsgruppe rund um den ETH-Professor Kenneth Paterson hat den Messaging-Dienst nun unter die Lupe genommen und kommt zum Schluss, dass das Konzept der Verschlüsselung grundlegende Schwächen aufzeigt, wie die "NZZ" berichtet. Demnach hinke die Verschlüsselung mehrere Jahre hinterher, gerade im Vergleich zum Konkurrenzdienst Signal. Eine rund sechs Monate dauernde Untersuchung, die analysiert habe, wie die Verschlüsselung in konkreten Anwendungen zum Einsatz kommt, hat sechs neue Schwachstellen von Threema aufgedeckt.
Diese Lücken erlauben es Angreifern unter anderem, die Metadaten der Kommunikation mitzulesen. Und wenn Angreifer in den Chat-Server von Threema eindringen konnten, was etwa bei staatlichen Gruppen gut möglich sei, dann könnten sie Nachrichten löschen oder die Reihenfolge dieser ändern. Aber auch ein unbemerktes Klonen eines Threema-Accounts ist für die Forscher ein durchaus denkbares Szenario.


Threema-CEO Martin Blatter betont gegenüber der "NZZ", dass die Erkenntnisse der Forscher nicht gravierend, sondern rein akademischer Natur seien. Denn mit den Schwachstellen könnten Angreifer nicht an die Inhalte der Chats gelangen. Doch gemäss ETH-Forscher Kenneth Paterson stellt sich die Frage, ob es Threema an einem tiefergehenden Verständnis von Kryptografie fehle. Denn die verwendeten Kommunikationsprotokolle seien ungenügend überprüft worden und entsprächen nicht mehr dem heutigen Stand der Dinge. Die ETH-Forscher haben Threema ihre Erkenntnisse im Oktober 2022 gemeldet, der Messaging-Dienst hat die Schwachstellen nach eigenen Angaben inzwischen behoben. (abr)


Weitere Artikel zum Thema

Threema spendiert sich neues Kommunikationsprotokoll Ibex

6. Dezember 2022 - Der Schweizer Instant-Messaging-Dienst Threema führt mit Ibex ein neues kryptografisches Kommunikationsprotokoll und eine erweiterte Protokoll-Suite ein.

Threema lanciert komplett Google-freie Version

4. August 2022 - Der Schweizer Nachrichten-App-Anbieter Threema hat Threema Libre veröffentlicht – eine Version, die frei von jeglichen proprietären Abhängigkeiten sein soll.

Schweizer Armee: Threema statt Whatsapp

5. Januar 2022 - Weil Whatsapp, Signal, Telegram & Co. beim Datenschutz problematisch sind, sollen die Angehörigen der Schweizer Armee fürs Instant Messaging nur noch Threema einsetzen.

Kommentare
Wenn von "Konzept der Verschlüsselung" gesprochen wird, so sollte mit hineinengenommen werden, dass der Cloud-Act diese umghehen kann und mitliest im Datenstrom. Amerikanische Unternehemn (wie Signal in desem erwöhnten Fall) unterliegen diesem! Threem, unter Schweizer Datenrecht, derzet nicht. Wenn man lso versteht, dass das sicherste Datenverschlüsselungsprotokoll nur so sicher ist, wie es nicht dem Cloud-Act unterliegt, sieht die Sache natürlich wieder ganz anders aus.
Dienstag, 10. Januar 2023, Schweizer



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER