iphone-ticker.de — Alles zum iPhone. Seit 2007. 33 086 Artikel
   

Sicherheits-Kritik an Messenger Threema: Entwickler reagieren

51 Kommentare 51

In seinem Artikel „Klartext via USB und iCloud-Backup“ kritisiert der Münchner Blogger Timo Hetzel eine Design-Entscheidung des vollverschlüsselten Messengers Threema (AppStore-Link).

threema-klein

So setzt die Schweizer WhatsApp-Alternative – ifun.de berichtete – unter anderem auf die System-Verschlüsselung des iOS-Betriebssystems (iOS Data Protection) und verlässt sich auf den vom Nutzer gesetzten Passcode zum Schutz der im Dateisystem abgelegten Nachrichten.

Eine Entscheidung, die die Threema-Macher in ihren FAQs offen kommunizieren.

Hier setzt Hetzel an und kritisiert, dass unbefugte Nutzer mit Zugriff auf das eigene Gerät, so die eigentlich verschlüsselten Nachrichten einsehen könnten:

[…] Die entschlüsselten Nachrichten selbst allerdings liegen laut der FAQ direkt im Dateisystem und werden ins Backup mit aufgenommen. Das Dateisystem kann unter iOS von der “Data Protection” geschützt sein, wenn das Gerät mit einem Sperrcode versehen ist.

Fehlt der Passcode, fehlt auch die Sperre. Fehlt die Sperre, lassen sich alle Nachrichten im Klartext über USB auslesen, z.B. mit iExplorer, ohne Jailbreak. […]

Anders formuliert: Wenn jemand Drittes euer entsperrtes (!) iPhone an einen Rechner anschließt, kann er die Dateien mit euren Kurznachrichten auslesen. Kein Fehler, sondern eine logische Konsequenz, da die „iOS Data Protection“-Routine auf Dateisystemebene arbeitet.

Wir haben die Entwickler dennoch um eine Stellungnahme zum Thema gebeten und wurden innerhalb weniger Minuten mit folgendem Statement bedacht:

[…] Die lokal gespeicherten Daten sind aus unserer Sicht durch iOS Data Protection gut geschützt.

Das Thema einer eigenen Verschlüsselung der lokal gespeicherten Daten durch Threema kommt immer wieder mal auf. Leider wird dabei aber oft vergessen, dass es für eine Ver*schlüsselung* auch einen *Schlüssel* braucht. Diesen kann man natürlich nicht am selben Ort speichern wie die zu verschlüsselnden Daten (sonst ist das reine Security by Obscurity), und zudem muss der Schlüssel lang genug sein, um Brute-Force-Attacken standzuhalten – kurze PINs o.dgl. scheiden also aus. Bei einer App wie
Threema würde es auf ein mindestens 10-stelliges Passwort herauslaufen, das nach jedem Neustart des App-Prozesses eingegeben werden müsste. Je nach Arbeitsspeichersituation kann dies sehr oft geschehen (u.U. sogar bei jedem Aufrufen der App) und wird normalerweise vom Benutzer gar nicht bemerkt. Wir glauben nicht, dass eine signifikante Anzahl der Benutzer diesen massiven Usability-Kompromiss eingehen würde.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
13. Aug 2013 um 11:13 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    51 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    51 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 33086 Artikel in den vergangenen 5372 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2022 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven