Neredeyse hiç veri toplamayan uçtan uca şifreli bir sohbet uygulaması ve Kaydolmak için herhangi bir kişisel bilgi gerekmiyor mu? Gizlilik meraklıları için gerçek olan bir rüya gibi geliyor. Tek sorun şu ki üçlemeSöz konusu habercinin arkasındaki İsviçreli gizlilik şirketi, güvenilmez bir kriptografik protokol kullanıyor. kullanıcıların sözde güvenli ve gizli görüşmeleri. Gerçekten de evet.
Threema’nın talihsiz güvenlik sorunları, geçen yılın sonlarında Zürihli bir bilgisayar bilimi öğrencisi ve onun iki akademik danışmanı tarafından keşfedildi. Üçlü, uygulamanın savunmasını başarılı bir şekilde yenmeyi başardıktan sonra bulgularını açıklayarak şirketin protokollerini sessizce güncellemesine ve varsayımsal saldırılara izin verecek güvenlik açıklarını düzeltmesine olanak sağladı. Bu hafta, araştırmacılar yayınladı bu bulgularuygulamanın önceki şifreleme protokolünün kesinlikle arzulanan bir şeyi nasıl bıraktığını ortaya koyuyor.
Araştırmacılar, “Çalışmamızda, Threema tarafından kullanılan kriptografik protokollere karşı üç farklı tehdit modelinde yedi saldırı sunuyoruz” diye yazıyor. “Tüm saldırılara, pratikte fizibilitelerini gösteren kavram kanıtı uygulamaları eşlik ediyor.”
Araştırmacıların kitaplarında daha kapsamlı olarak okuyabileceğiniz bu teorik saldırılar kağıt, Threema’nın sözde sağlam şifreleme duvarının altına kaydırmak için bir dizi farklı yöntem gösterir. Kendisini “maksimum güvenlik” uygulaması olarak faturalandıran ve yakın zamana kadar habercisinin çalıştığını iddia eden bir şirket için bunun oldukça kötü bir haber olduğunu söyleyebilirsiniz. daha güvenli popüler E2EE zımba teli dahil olmak üzere diğerlerinden daha sinyal.
Ayrıca Threema’nın müşterileri için potansiyel olarak kötü bir haber. Araştırmacıların belirttiği gibi, son derece saygın uygulamanın, binlerce kurumsal müşteri ve “İsviçre Hükümeti ve İsviçre Ordusu ile şu anki Almanya Şansölyesi” gibi bir dizi özellikle “önde gelen kullanıcı” da dahil olmak üzere 10 milyondan fazla düzenli kullanıcısı var. Olaf Scholz.
G/O Media komisyon alabilir
100$’a kadar kredi
Samsung Rezerv
Yeni nesil Samsung cihazını rezerve edin
Tek yapmanız gereken e-posta adresinizle kaydolmak ve patlama: yeni bir Samsung cihazında ön siparişiniz için kredi.
Bununla birlikte, Threema saldırıların fizibilitesini kısmen tartıştı. Bulgulara yanıt olarak, şirket bir yayın yayınladı. Beyan bu hafta, yakın zamanda keşfedilen güvenlik açıklarını gerçekçi bir şekilde uygulanabilir olarak görmediğini açıklıyor. “Hiçbiri [the security flaws] şirket, herhangi bir önemli gerçek dünya etkisine sahip olduğunu iddia etti.
Gizmodo tarafından yorum için ulaşıldığında, Threema sözcüsü Julia Weiss, sohbet platformunun artık yeni dış denetimler ve “dost bilgisayar korsanlarına” 10.000 İsviçre frangı ödül sunan bir hata ödül programı dahil olmak üzere güvenliğini artırdığını açıkladı. Weiss ayrıca, Threema’nın eskisinin yerini alan yeni protokolünün “Ibex”in “son teknoloji” olduğunu ve “harici bir kriptografla işbirliği içinde geliştirildiğini” söyledi.
“Hataların hiçbir zaman tamamen ortadan kaldırılamayacağı ve en katı kalite güvencesinden bile geçilemeyeceği yazılım endüstrisinde bir gerçektir. [quality assurances] süreçler, ”dedi Weiss bir e-postada. “Bu, tüm uygulamaları ve işletim sistemlerini etkiler. Bu nedenle, yalnızca proaktif davranmakla kalmıyor, aynı zamanda bu tür durumlara hızla yanıt verme becerimizle de gurur duyuyoruz.”
Verilerin şifresini çözmek veya Threema’daki konuşmalara sızmak için bu saldırı yöntemlerini kimsenin kullandığına dair hiçbir kanıt yok. Bununla birlikte, bir platformun uçtan uca şifreleme sunmasının iletişiminizin mutlaka güvenli olduğu anlamına gelmediğini hatırlatmak isteriz. Haberciler şifreleme sunsa da, hemen hemen her zaman bu tür korumaları aşmanın bir yolu vardır. Yakın zamanda başka bir olayPopüler E2EE iletişim protokolü Matrix’i içeren , platformun konuşmaların tehlikeye atılmasına izin verecek ciddi yazılım hataları olduğunu gösterdi.
Signal, bildiğimiz kadarıyla, hiç sorun yaşamadım bu türden – ama bu olamayacağı anlamına gelmez. İnterneti içeren herhangi bir şeyde olduğu gibi, bir saldırı olası olmayabilir, ancak her zaman mümkündür.