ETH-Forscher decken Threema-Schwachstellen auf

ETH-Forscher decken Threema-Schwachstellen auf

ETH-Forscher decken Threema-Schwachstellen auf

(Quelle: Threema)
10. Januar 2023 - Forscher der ETH haben entdeckt, dass bei Threema bis vor kurzem veraltete Kommunikationsprotokolle zum Einsatz kamen, und haben sechs Schwachstellen aufgedeckt. Diese seien mittlerweile aber behoben, heisst es von Seiten Threemas.
Threema, die Schweizer Alternative zu Whatsapp und Co., die als besonders sicher eingestuft und deshalb seit 2019 zum Beispiel auch von der Schweizer Bundesverwaltung eingesetzt wird, könnte doch nicht so sicher sein, wie gerne proklamiert. Denn eine Forschungsgruppe rund um den ETH-Professor Kenneth Paterson hat den Messaging-Dienst nun unter die Lupe genommen und kommt zum Schluss, dass das Konzept der Verschlüsselung grundlegende Schwächen aufzeigt, wie die "NZZ" berichtet. Demnach hinke die Verschlüsselung mehrere Jahre hinterher, gerade im Vergleich zum Konkurrenzdienst Signal. Eine rund sechs Monate dauernde Untersuchung, die analysiert habe, wie die Verschlüsselung in konkreten Anwendungen zum Einsatz kommt, hat sechs neue Schwachstellen von Threema aufgedeckt.
Diese Lücken erlauben es Angreifern unter anderem, die Metadaten der Kommunikation mitzulesen. Und wenn Angreifer in den Chat-Server von Threema eindringen konnten, was etwa bei staatlichen Gruppen gut möglich sei, dann könnten sie Nachrichten löschen oder die Reihenfolge dieser ändern. Aber auch ein unbemerktes Klonen eines Threema-Accounts ist für die Forscher ein durchaus denkbares Szenario.

Threema-CEO Martin Blatter betont gegenüber der "NZZ", dass die Erkenntnisse der Forscher nicht gravierend, sondern rein akademischer Natur seien. Denn mit den Schwachstellen könnten Angreifer nicht an die Inhalte der Chats gelangen. Doch gemäss ETH-Forscher Kenneth Paterson stellt sich die Frage, ob es Threema an einem tiefergehenden Verständnis von Kryptografie fehle. Denn die verwendeten Kommunikationsprotokolle seien ungenügend überprüft worden und entsprächen nicht mehr dem heutigen Stand der Dinge. Die ETH-Forscher haben Threema ihre Erkenntnisse im Oktober 2022 gemeldet, der Messaging-Dienst hat die Schwachstellen nach eigenen Angaben inzwischen behoben. (abr)

Kommentare

Dienstag, 10. Januar 2023 Schweizer
Wenn von "Konzept der Verschlüsselung" gesprochen wird, so sollte mit hineinengenommen werden, dass der Cloud-Act diese umghehen kann und mitliest im Datenstrom. Amerikanische Unternehemn (wie Signal in desem erwöhnten Fall) unterliegen diesem! Threem, unter Schweizer Datenrecht, derzet nicht. Wenn man lso versteht, dass das sicherste Datenverschlüsselungsprotokoll nur so sicher ist, wie es nicht dem Cloud-Act unterliegt, sieht die Sache natürlich wieder ganz anders aus.

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER