Ακαδημαϊκοί ερευνητές ανακάλυψαν σοβαρά κενά ασφαλείας στον πυρήνα του Threema, ενός instant messenger που ο προγραμματιστής του με έδρα την Ελβετία ισχυρίζεται ότι παρέχει ένα επίπεδο ασφάλειας και απορρήτου που δεν μπορεί να παρέχει “καμία άλλη υπηρεσία συνομιλιών.”
Παρά τους ευνοϊκούς ισχυρισμούς της εταιρείας (αν δεν παινέψεις το σπίτι σου) σε δύο ανεξάρτητους ελέγχους ασφαλείας της Threema, οι ερευνητές αναφέρουν ότι τα ελαττώματα ακυρώνουν πλήρως τις διαβεβαιώσεις εμπιστευτικότητας και ελέγχου ταυτότητας που αποτελούν τον ακρογωνιαίο λίθο οποιουδήποτε προγράμματος που υποτίθεται ότι παρέχει κρυπτογράφηση end-to-end, συντομογραφία E2EE από το end-to-end encryption.
Η Threema αυτή την στιγμή έχει περισσότερους από 10 εκατομμύρια χρήστες, στους οποίους συμπεριλαμβάνονται η ελβετική κυβέρνηση, ο ελβετικός στρατός, ο Γερμανός καγκελάριος Olaf Scholz και άλλοι πολιτικοί από αυτή τη χώρα. Οι προγραμματιστές της Threema την διαφημίζουν ως μια πιο ασφαλή εναλλακτική λύση του WhatsApp Messenger της Meta. Είναι μεταξύ των κορυφαίων εφαρμογών του Android στην Ελβετία, τη Γερμανία, την Αυστρία, τον Καναδά και την Αυστραλία. Η εφαρμογή χρησιμοποιεί ένα προσαρμοσμένο πρωτόκολλο κρυπτογράφησης κατά παράβαση των καθιερωμένων κρυπτογραφικών κανόνων.
Ερευνητές από το ερευνητικό πανεπιστήμιο ETH που εδρεύει στη Ζυρίχη ανέφεραν τη Δευτέρα ότι βρήκαν επτά ευπάθειες στην Threema που αμφισβητούν σοβαρά το πραγματικό επίπεδο ασφάλειας που προσφέρει η εφαρμογή όλα αυτά τα χρόνια.
Δύο από τα τρωτά σημεία δεν απαιτούν ειδική πρόσβαση σε διακομιστή ή την εφαρμογή Threema για την μίμηση ενός χρήστη. Τρεις ευπάθειες απαιτούν από έναν εισβολέα να αποκτήσει πρόσβαση σε έναν διακομιστή της Threema και οι υπόλοιπες δύο μπορούν να χρησιμοποιηθούν όταν ένας εισβολέας αποκτήσει πρόσβαση σε ένα ξεκλείδωτο τηλέφωνο.
“Συνολικά, οι επιθέσεις μας υπονομεύουν σοβαρά τους ισχυρισμούς ασφαλείας της Threema”, αναφέρουν οι ερευνητές. “Όλες οι επιθέσεις μπορούν να επιδιορθωθούν, αλλά σε ορισμένες περιπτώσεις χρειάζεται σημαντικός επανασχεδιασμός”.