iphone-ticker.de — Alles zum iPhone. Seit 2007. 34 754 Artikel

Mittlerweile wurde nachgebessert

Messenger Threema wegen Schwachstellen in der Kritik

57 Kommentare 57

Die Tatsache, dass die Entwickler des Messengers Threema zum Jahreswechsel neue Sicherheitsfunktionen und damit verbunden die Unterstützung des Ibex-Protokolls in ihre App integriert haben, hatte offenbar konkrete Gründe. Ein Team der Eidgenössischen Technischen Hochschule Zürich (ETH) hatte die Threema-Entwickler zuvor mit mehreren Schwachstellen im Zusammenhang mit der bislang von dem Messenger genutzten Verschlüsselungsmethode konfrontiert.

Einen detaillierten Bericht über ihre Analyse und die damit verbundenen Ergebnisse haben die ETH-Forscher auf der Webseite Breaking The 3ma App veröffentlicht. Die aufgezeigten Schwachstellen machten es beispielsweise möglich, dass Unbefugte einsehen können, wer wann und mit wem kommuniziert oder teilweise auch in der Lage sind, Nachrichten zu löschen sowie deren Reihenfolge zu ändern.

Allerdings seien die aufgezeigten Angriffsmethoden nicht nur mit großem Aufwand verbunden, sondern es war offenbar auf keinem dieser Wege möglich, an die Inhalte der Chats zu gelangen. Im Interview mit der NZZ lässt der Geschäftsführer von Threema, Martin Blatter, dann auch vernehmen, dass die Daten der Threema-Nutzer nie in Gefahr gewesen seien.

„Verschlüsselung hinkte mehrere Jahre hinterher

Im Zusammenhang mit der Kommunikation über Messenger muss man allerdings auch die sogenannten Metadaten, also zum Beispiel wer wann und mit wem kommuniziert, als sensibel einstufen. Insbesondere mit Blick auf die Tatsache, dass Threema nicht nur von Schweizer Behörden, sondern auch von Politikern wie der FAZ zufolge dem Bundeskanzler Olaf Scholz genutzt wird, hat dieser Punkt besonderes Gewicht.

Threema Ibex

Threema hat sich seit jeher als „sicherer Messenger“ vermarktet und sich nicht davor gescheut, sich in diesem Bereich über die Angebote der Konkurrenz zu stellen. Die ETH-Forscher kommen gegenüber der NZZ zu dem für Threema unangenehmen Schluss, dass die Verschlüsselung von Threema mehrere Jahre hinter dem beispielsweise von Signal genutzten Standard hinterherhinkt.

Signal war die bessere Wahl

Konkret setzt Signal bereits seit 2014 auf den Standard „Perfect Forward Secrecy“, der verhindert, dass Angreifer, die in den Besitz eines privaten Schlüssels kommen, nicht auch die älteren Nachrichten des betreffenden Nutzers entschlüsseln können. Bei Threema war dagegen seit zehn Jahren der gleiche Schlüssel gültig, der ungehinderten Zugang zu allen jemals ausgetauschten Nachrichten ermöglicht.

Besonders kritisiert werden in diesem Zusammenhang dann auch die von Threema als Beleg für die Sicherheit des Messengers angeführten externen Sicherheitsüberprüfungen. Die ETH-Forscher bezeichnen diese im Vergleich zu ihrer Untersuchung zu oberflächlich und keineswegs als Sicherheitsbeweis tauglich.

Mit dem Ende vergangenen Jahres veröffentlichten Update und einer serverseitigen Anpassung wurden die Schwachstellen Threema zufolge mittlerweile behoben.

Laden im App Store
‎Threema. The Secure Messenger
‎Threema. The Secure Messenger
Entwickler: Threema GmbH
Preis: 5,99 €
Laden

Danke Lukas

10. Jan 2023 um 14:21 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    57 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    57 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 34754 Artikel in den vergangenen 5636 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven