Versuch eine gefälschte Nachricht zu senden

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Hallo,

    ich experimentiere gerade mit dem Threema-Gateway herum. Ich weiß nicht mehr genau wo, aber irgendwo hatte ich gelesen, dass Threema einen warnt, wenn die Nachricht manipuliert sein könnte. Das wollte ich mal testen.Also habe ich eine Nachricht an meine Threema-ID mit 24 zufälligen Bytes als Nonce und einer Box "Hello World" als hex gesendet. Mit dem Ziel, die Nachricht kommt bei mir an und es wird "gemeckert", dass die Nachricht nicht korrekt aussieht. Ich bekomme auch eine Message-ID. Also die API hat die Nachricht angenommen. Diese Nachricht kommt aber nicht in der App an. Gibt es da noch irgendwelche Punkte, die ich beachten muss um das gewünschte Ergebnis zu bekommen oder gibt es irgendwelche Filter, die auf der Serverseite die Nachricht wegfiltern?

    Vielen Dank für eure Hilfe!

    Merkur

  • Deine Nachricht wird von der Empfänger-App ignoriert werden, weil sie nicht entschlüsselt werden kann. Der Server kann die korrekte Verschlüsselung ja nicht verifizieren, weil er nicht über den Private Key des Empfängers verfügt.

    Bezüglich Warnung meinst du wohl die Warnung, die erscheint, wenn man auf eine Mixed Script URL tippt (ein potentieller Homographischer Angriff): https://www.theguardian.com/technology/2017/apr/19/phishing-url-trick-hackers Das kannst du testen, indem du zB die URL https://xn--pple-43d.com an einen Kontakt sendest (per App oder Gateway, das ist egal). Dann erscheint ein Dialog mit einer Phishing-Warnung.

  • Dazu ist der MAC, der bei jeder Nachricht mitgeschickt wird, da. Eine sinnvolle bzw. entschlüsselbare Nachricht lässt sich nicht fälschen.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Gibt es auch einen Schutz, falls jemand die Nachricht auf dem Weg abfangen und dann verändern würde ?

    Ja, wie schuschu schon erwähnt hat:

    Dazu ist der MAC, der bei jeder Nachricht mitgeschickt wird, da. Eine sinnvolle bzw. entschlüsselbare Nachricht lässt sich nicht fälschen.

    Der Vorteil des NaCl Box-Modells ist, dass verschlüsselte Nachrichten durch den MAC (Message Authentication Code) immer auch authentisiert sind (sogenannte "authenticated encryption"). Dadurch können Manipulationen erkannt werden, bzw die Nachricht kann dann gar nicht entschlüsselt werden.

  • Nein, so weit ich weiss wird dann nichts gemeldet.

    Im Validation Log müssten solche Nachrichten aber trotzdem zu finden sein.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.