Czy Threema rzeczywiście jest bezpieczną alternatywą dla popularnych komunikatorów?

Szwajcarski komunikator Threema wprawdzie nie cieszy się w Polsce dużą popularnością, jednak w innych europejskich krajach, a także w Kanadzie czy Australii, ma opinię bezpiecznej alternatywy wobec innych tego typu aplikacji.
Fot. Tim Reckmann / Flickr

Szwajcarski komunikator Threema wprawdzie nie cieszy się w Polsce dużą popularnością, jednak w innych europejskich krajach, a także w Kanadzie czy Australii, ma opinię bezpiecznej alternatywy wobec innych tego typu aplikacji.

Z komunikatora Threema korzysta ponad 10 milionów użytkowników, 7 tys. klientów korporacyjnych, szwajcarski rząd i armia, a także wielu polityków. W licznych analizach Threema przedstawiana jest jako narzędzie bezpieczniejsze od najpopularniejszych komunikatorów, takich jak WhatsApp czy Messenger, jednak w ostatnim czasie opublikowano również badania, które fałszują tę tezę.

Wedle informacji na stronie producenta, program jest wprawdzie płatny, ale jednorazowo. Jest otwartoźródłowy, nie gromadzi danych, zapewnia prywatność i szyfrowanie end-to-end bazujące na własnych protokołach. Wielu decyduje się na niego, gdyż umożliwia komunikację bez podawania rozmówcy numeru telefonu, co jest szczególnie przydatne w przypadku osób publicznych umieszczających swoje dane kontaktowe w internecie. Szwajcarom daje poczucie bezpieczeństwa – jako rodzima aplikacja z automatu utrudnia szpiegowanie przez rządy obcych państw. Ale czy rzeczywiście jest tak bezpieczny, jak się wydaje?

Grupa szwajcarskich badaczy opublikowała niedawno obszerną analizę bezpieczeństwa komunikatora. Raport analizuje bezpieczeństwo protokołów komunikacji end-to-end (E2E) oraz client-to-server (C2S), rejestracji użytkowników, tworzenia kopii zapasowych kluczy prywatnych oraz interakcji pomiędzy samymi protokołami.

Analiza obejmuje 7 ataków w 3 różnych modelach zagrożeń. Wedle analizy, wykorzystując brak odpowiedniej separacji kluczy pomiędzy różnymi subprotokołami można złamać uwierzytelnienie w komunikatorze, inny atak umożliwia dostęp do kluczy prywatnych użytkowników. Łącznie odkryto 7 poważnych luk bezpieczeństwa, przy czym dwie umożliwiały podszycie się pod użytkownika, trzy wymagały od atakującego dostępu do serwera lub aplikacji Threemy, a dwie dotyczyły sytuacji, w której osoba atakująca miałaby dostęp do odblokowanego telefonu.

Threema ustosunkowała się do analizy argumentując, że ta „zakłada szerokie i nierealistyczne warunki wstępne” oraz dotyczy starego protokołu. Twórcy programu poinformowali, że po otrzymaniu informacji o problemie rozwiązali go wprowadzając nowy protokół – Ibex, usunęli kompresję umożliwiającą jeden z ataków, wprowadzili lepszą separację kluczy oraz wprowadzili dodatkowe zabezpieczenie mające pozwolić zaufanym serwerom na wykrycie ataków, w których ktoś podszywa się pod klienta serwera.

Badacze przyznali, że większość wprowadzonych poprawek rzeczywiście zapobiega ich atakom, nie przeprowadzili jednak audytu samego protokołu Ibex. „Uważamy, że rdzeń kryptograficzny Threemy posiada podstawowe wady projektowe, które należy usunąć, aby spełnić oczekiwania użytkowników w zakresie bezpieczeństwa i przywrócić równowagę między deklaracjami bezpieczeństwa Threemy a tym, co ona faktycznie zapewnia”. – podsumowali.

Autorką tekstu jest Joanna Cisowska

Total
0
Shares
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Powiązane teksty
Total
0
Share