Encryption
Einer der beliebtesten und als besonders sicher angepriesener Messenger, Threema, geriet diese Woche in den Mittelpunkt eines Skandals. Forscher der ETH Zürich, einer öffentlichen Forschungsuniversität in der Schweiz, fanden sieben (7!) Sicherheitslücken in den Protokollen von Threema. Die Entwickler der App spielten die Bugs herunter und erklärten in einem Blogbeitrag, dass sie „alle Probleme innerhalb weniger Wochen behoben“ hätten und „keines der Probleme jemals nennenswerte Auswirkungen auf die reale Welt gehabt hätte“. Was steckt dahinter, und sollten Sie nun sofort zu Signal wechseln?
Forscher der ETH Zürich, einer öffentlichen Forschungsuniversität in der Schweiz, fanden 7 Sicherheitslücken in den Protokollen von #Threema.
Tweet
Es ist schwierig, dem Threema-Skandal auf den Grund zu gehen, denn das Verhalten beider Seiten ist zwar zivilisiert, aber trotzdem nicht ideal. Das Team der ETH Zürich hat die Bedeutung seiner Arbeit, die nicht nur Schwachstellen, sondern auch hypothetische Exploit-Szenarien beschreibt, eindeutig überbewertet, während die Entwickler von Threema die Schwere der Schwachstellen eindeutig herunterspielen, indem sie behaupten, dass es nahezu unmöglich sei, diese auszunutzen.
Sollten Sie nur an den praktischen Erkenntnissen interessiert sein, empfehlen wir Ihnen, direkt zum Ende unseres Beitrags zu springen .
Threema-Schwachstellen
Alle Schwachstellen wurden im Oktober verantwortungsbewusst offengelegt und umgehend behoben. Nach Angaben beider Seiten wurde keine dieser Schwachstellen in freier Wildbahn ausgenutzt; es gibt daher keinen Grund, sich vor der Veröffentlichung der Informationen über diese Schwachstellen zu fürchten. Einen Grund zur Sorge gibt es dennoch.
Konzentrieren wir uns auf das, was sich aus einer sorgfältigen Lektüre des ETH-Berichts, dem Statement von Threema und anderen öffentlich zugänglichen Studien über die Threema-App und ihre Protokolle ableiten lässt.
Die App verwendet starke kryptografische Algorithmen mit robuster, standardisierter NaCl-Implementierung, all das verpackt in Threemas eigenem Informationsaustauschprotokoll, dessen Implementierung unvollkommen ist. So besteht die Möglichkeit verschiedener theoretischer Angriffe (wie das Versenden einer Nachricht in einem Gruppenchat, die für verschiedene Empfänger unterschiedlich aussieht), aber auch einiger praktischer Angriffe. So kann beispielsweise jeder mit physischem Zugriff auf das Ziel-Smartphone relativ einfach die Threema-Datenbanken und -Backups darauf lesen – wenn keine Passphrase zum Schutz der App festgelegt wurde. Zudem ist es möglich, eine Threema-ID zu klonen, was Angreifern ermöglicht, Nachrichten im Namen des Opfers zu versenden (wenn auch nicht gleichzeitig). Natürlich sind alle Szenarien, die einen physischen Zugriff auf ein Smartphone mit sich bringen, für jede App das Worst-Case-Szenario, und nur schwer zu verteidigen.
Einige der vorgeschlagenen hypothetischen Angriffe über die neuen Schwachstellen würden nur funktionieren, wenn Angreifer die volle Kontrolle über das Netzwerk zum Datenaustausch haben. Das allein reicht jedoch nicht aus; es sind noch weitere komplexe Exploit-Bedingungen erforderlich. Ein Szenario erfordert beispielsweise, dass das Opfer gezwungenermaßen eine Nachricht mit sehr seltsamen Inhalten über Threema verschickt. Das wird in der Praxis wohl kaum funktionieren.
Von den Schwachstellen des Kommunikationsprotokolls selbst ist das Fehlen einer Forward und Future Secrecy besonders beunruhigend. Das bedeutet, dass bei Entschlüsselung einer Nachricht auch spätere Nachrichten entschlüsselt werden können. Diese Schwachstelle ist schon seit einiger Zeit bekannt, weshalb Threema im Dezember eine grundlegend neue, sicherere Version seines Protokolls angekündigt hat. Dieses neue Protokoll – Ibex – muss sich noch unabhängigen Sicherheitsaudits unterziehen. Wir können die Entwickler nur beim Wort nehmen, wenn sie sagen, dass es alle Facetten der modernen praktischen Kryptographie abdeckt. Threema wäre gut beraten, den Rat der ETH Zürich zu beherzigen, die Protokolle in den frühen Entwicklungsphasen extern prüfen zu lassen – und nicht erst nach ihrer Veröffentlichung.
Um einige der Schwachstellen auszunutzen, müsste der Threema-Server kompromittiert werden und jemand auf Betreiberseite absichtlich versuchen, ausgetauschte Daten zu stehlen oder die Kommunikation zu stören. Dies ist vor allem für Unternehmen wichtig, die Threema Work nutzen: Wenn ein Unternehmen seine Daten nicht einmal einem hypothetischen Risiko aussetzen kann, sollte es einen Wechsel zu Threema OnPrem in Erwägung ziehen, wo es seinen eigenen internen Threema-Server hat. In diesem Fall müssen die Administratoren nach Möglichkeiten suchen, die Sicherheit des Servers zu erhöhen (auch Härten genannt).
Auch App-Entwickler müssen aus dieser Situation ihre Lehren ziehen. „Denkt euch keine eigenen kryptographischen Algorithmen aus“ schreien Kryptographie-Experten seit jeher unaufhörlich (Telegram zum Beispiel hat das völlig ignoriert). Doch die Entwickler von Threema haben bewährte kryptografische Algorithmen mit ihrer korrekten Standardimplementierung verwendet! Durch den Einsatz von Standardkryptographie im ursprünglichen Client-Server-Kommunikationsprotokoll, das anstelle von Standard-TLS verwendet wird, konnten sich eine Reihe von Bugs einschleichen. Es scheint fast so, als hätten die Experten schreien sollen: „Entwickelt weder eure eigenen kryptografischen Algorithmen noch Protokolle!“
Praktische Tipps
Wenn Sie sich für Threema entschieden haben, weil Sie gedacht haben, es sei der „meistverschlüsselte Messenger“, es Ihnen aber nichts ausmacht, Ihre Telefonnummer mit einem Instant Messenger zu verwenden, und Sie nichts von technischen Details wissen möchten, sollten Sie besser zu Signal wechseln. Wie echte Hacks und Gerichtsbeschlüsse gezeigt haben, sind die Kryptografie und die Datenspeicherung von Signal robuster und widerstandsfähiger. Wenn Sie Threema als Ihren Hauptarbeits-Messenger verwenden müssen oder Sie die Tatsache mögen, dass Ihre Threema-ID nicht mit Ihrer Telefonnummer verknüpft ist, können Sie den Messenger natürlich auch in Zukunft verwenden – den Risiken sollten Sie sich jedoch bewusst sein. Sie mögen zwar hypothetisch sein – aber sie sind nicht völlig auszuschließen. Stellen Sie sicher, dass Sie die Threema-IDs neuer Kontakte doppelt überprüfen und offline verifizieren, und verwenden Sie Passphrasen für eine sichere Anmeldung.
Mittlere und große Unternehmen, die Threema in ihren Geschäftsprozessen einsetzen, sollten ernsthaft über eine Migration zu Threema OnPrem nachdenken, um die volle Kontrolle über die Messenger-Server zu haben.
Tipps