{"id":51995,"date":"2013-08-13T11:13:13","date_gmt":"2013-08-13T09:13:13","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=51995"},"modified":"2013-08-13T12:34:37","modified_gmt":"2013-08-13T10:34:37","slug":"sicherheits-kritik-an-messenger-threema-entwickler-reagieren","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/sicherheits-kritik-an-messenger-threema-entwickler-reagieren-51995\/","title":{"rendered":"Sicherheits-Kritik an Messenger Threema: Entwickler reagieren"},"content":{"rendered":"

In seinem Artikel „Klartext via USB und iCloud-Backup“ kritisiert der M\u00fcnchner Blogger Timo Hetzel eine Design-Entscheidung des vollverschl\u00fcsselten Messengers Threema<\/strong> (AppStore-Link<\/a>). <\/p>\n

\"threema-klein\"<\/a><\/p>\n

So setzt die Schweizer WhatsApp-Alternative – ifun.de berichtete<\/a> – unter anderem auf die System-Verschl\u00fcsselung des iOS-Betriebssystems (iOS Data Protection) und verl\u00e4sst sich auf den vom Nutzer gesetzten Passcode zum Schutz der im Dateisystem abgelegten Nachrichten. <\/p>\n

Eine Entscheidung, die die Threema-Macher in ihren FAQs<\/a> offen kommunizieren. <\/p>\n

Hier setzt Hetzel an und kritisiert<\/a>, dass unbefugte Nutzer mit Zugriff auf das eigene Ger\u00e4t, so die eigentlich verschl\u00fcsselten Nachrichten einsehen k\u00f6nnten:<\/p>\n

[…] Die entschl\u00fcsselten Nachrichten selbst allerdings liegen laut der FAQ direkt im Dateisystem und werden ins Backup mit aufgenommen. Das Dateisystem kann unter iOS von der \u201cData Protection\u201d gesch\u00fctzt sein, wenn das Ger\u00e4t mit einem Sperrcode versehen ist. <\/p>\n

Fehlt der Passcode, fehlt auch die Sperre. Fehlt die Sperre, lassen sich alle Nachrichten im Klartext \u00fcber USB auslesen, z.B. mit iExplorer, ohne Jailbreak. […]\n<\/p><\/blockquote>\n

Anders formuliert<\/strong>: Wenn jemand Drittes euer entsperrtes (!) iPhone an einen Rechner anschlie\u00dft, kann er die Dateien mit euren Kurznachrichten auslesen. Kein Fehler, sondern eine logische Konsequenz, da die „iOS Data Protection“-Routine auf Dateisystemebene arbeitet. <\/p>\n

Wir haben die Entwickler dennoch um eine Stellungnahme zum Thema gebeten und wurden innerhalb weniger Minuten mit folgendem Statement bedacht: <\/p>\n

[…] Die lokal gespeicherten Daten sind aus unserer Sicht durch iOS Data Protection gut gesch\u00fctzt.<\/p>\n

Das Thema einer eigenen Verschl\u00fcsselung der lokal gespeicherten Daten durch Threema kommt immer wieder mal auf. Leider wird dabei aber oft vergessen, dass es f\u00fcr eine Ver*schl\u00fcsselung* auch einen *Schl\u00fcssel* braucht. Diesen kann man nat\u00fcrlich nicht am selben Ort speichern wie die zu verschl\u00fcsselnden Daten (sonst ist das reine Security by Obscurity), und zudem muss der Schl\u00fcssel lang genug sein, um Brute-Force-Attacken standzuhalten – kurze PINs o.dgl. scheiden also aus. Bei einer App wie
\nThreema w\u00fcrde es auf ein mindestens 10-stelliges Passwort herauslaufen, das nach jedem Neustart des App-Prozesses eingegeben werden m\u00fcsste. Je nach Arbeitsspeichersituation kann dies sehr oft geschehen (u.U. sogar bei jedem Aufrufen der App) und wird normalerweise vom Benutzer gar nicht bemerkt. Wir glauben nicht, dass eine signifikante Anzahl der Benutzer diesen massiven Usability-Kompromiss eingehen w\u00fcrde.\n<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"\"\"<\/a>

In seinem Artikel „Klartext via USB und iCloud-Backup“ kritisiert der M\u00fcnchner Blogger Timo Hetzel eine Design-Entscheidung des vollverschl\u00fcsselten Messengers Threema (AppStore-Link). So setzt die Schweizer WhatsApp-Alternative – ifun.de berichtete – unter anderem auf die System-Verschl\u00fcsselung des iOS-Betriebssystems (iOS Data Protection) und verl\u00e4sst sich auf den vom Nutzer gesetzten Passcode zum Schutz der im Dateisystem abgelegten […]<\/p>\n","protected":false},"author":1,"featured_media":48344,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[39,1975],"tags":[3914,32,235,238,90],"class_list":["post-51995","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-apps","category-feature","tag-apps","tag-kritik","tag-messenger","tag-security","tag-sicherheit"],"aioseo_notices":[],"featured_image":["http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2013\/06\/hide.jpg"],"rest_api_enabler":{"featured_image":"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2013\/06\/hide.jpg"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/51995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=51995"}],"version-history":[{"count":6,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/51995\/revisions"}],"predecessor-version":[{"id":52007,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/51995\/revisions\/52007"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/48344"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=51995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=51995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=51995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}