SfN
blank

ETH-Studie deckt Mängel im Messenger Threema auf

Viele Aktivisten, auch wir, empfehlen und benutzen den als sicher geltenden Messenger Threema. Jetzt wurde bekannt, dass dieser veraltete Sicherheitstechnologie verwendet hat. Ein Grund in Panik zu verfallen besteht jedoch nicht.

Forschende der ETH Zürich haben über Monate die Sicherheit des Schweizer Messengers Threema unter die Lupe genommen. Die Forscher haben herausgefunden, dass bei Threema eine neue Verschlüsselungstechnologie, die etwa Konkurrent Signal seit 2014 nutzt, nicht eingesetzt wurde.

In ihrem Aufsatz beschreiben die Forscher sechs neue Schwachstellen von Threema. Diese ermöglichen einem Angreifer zum Beispiel, die Metadaten der Kommunikation – wer wann mit wem kommuniziert – mitzulesen. Wenn Angreifer in den Chat-Server von Threema eindringen konnten, was bei staatlichen Gruppen gut möglich ist, könnten sie gar Nachrichten löschen oder deren Reihenfolge ändern.

Ein weiteres Szenario der Forscher geht davon aus, dass zum Beispiel eine Grenzbeamtin oder der Lebenspartner Zugriff auf das Smartphone und die Threema-App hat, was gut vorstellbar ist. Die unbefugte Person könnte die Threema-ID exportieren und damit den Account klonen, was unter gewissen Umständen unbemerkt bleiben würde.

Daten der Threema-Nutzer waren nie in Gefahr

Solche Mängel in einem Messenger-Dienst sind beunruhigend. Allerdings ist es unter realen Bedingungen äusserst schwierig, die sechs gefundenen Schwachstellen tatsächlich auszunutzen. Die Angreifer müssten dafür einen so großen Aufwand betreiben, dass andere Wege, an die Informationen heranzukommen, vermutlich einfacher wären.

Diesen Punkt betont auch der CEO von Threema, Martin Blatter: «Die Erkenntnisse der Forscher sind nicht gravierend, sondern rein akademischer Natur.» Mit den aufgeführten Schwachstellen könnten Angreifer nicht an die Inhalte der Chats gelangen, sagt Blatter. «Die Daten unserer Nutzer waren nie in Gefahr.»

Die Meldung klingt, als wäre alles gerade eben passiert und aufgeflogen. Tatsächlich läuft das mit Forschung rund um Sicherheitslücken deutlich gemächlicher. In der Regel funktioniert das so: Wenn jemand einen Sicherheitsmangel findet, wird als Erstes die betroffene Firma informiert. Die bekommt dann eine Frist, um das Problem zu beheben. Erst dann wird die Entdeckung publik gemacht. Schließlich will man als seriöser Sicherheitsspezialist die Firma und ihre Kundschaft durch die sofortige Publikation ja nicht auf dem falschen Fuß erwischen und in Gefahr bringen.

Hat Threema die Sicherheitslücken behoben?

Ja. Die Forscher der ETH haben Threema im Oktober 2022 kontaktiert und über ihre Entdeckung informiert. Sie setzten Threema eine Frist von 90 Tagen, um zu reagieren. Heute nun haben sie ihre Entdeckung publiziert.

Threema selbst will das Problem inzwischen behoben haben.

Die Android-App wurde im November und die iPhone-App im Dezember entsprechend aktualisiert.

Dennoch hier noch einmal die Aufforderung an alle: Spielt Updates zeitnah ein. Es gibt sicherlich noch einige Aktivisten ohne das aktuelle Update, deswegen: Solltet ihr eine Aktualisierung für Threema im App Store sehen, schiebt sie nicht auf die lange Bank!

1 Kommentar

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in dem SfN Informationsblog werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.


blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.