Sicherheit Chat Threema

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <

    Ich entschuldige mich für meine deutsche Sprache. Google translator.

    In meinem Land gab es kürzlich einen Vorfall. Nachrichten von Threema erschienen an der Oberfläche.

    Der Kurs war wie folgt.

    Person 1 hatte ein Backup-Threma, dieses Backup wurde von der Polizei gebrochen. Schwaches Passwort. IN ORDNUNG. Fehler von Person 1. Dadurch wurde die vollständige Kommunikation von Person 1 mit anderen Benutzern erreicht. Wie kann eine geschützte Person 2 geschützt werden? Die Polizei identifizierte automatisch andere Personen. Alles dank dem Chat.

    Dies bedeutet, dass der Chat so privat wie möglich sein kann, solange die Sicherheit von Person 1 fehlschlägt, das Passwort schwach ist und die Person 2 automatisch kompromittiert wird.

    Es sei denn, Threema hat auf beiden Seiten einen automatischen Chat-Löschvorgang. Person 2 ist immer gefährdet, da sie sich auf die Sicherheit von Person 1 verlassen muss.

    Aus diesem Chat wurde es dann in Zeitungen und im Fernsehen geschrieben.

    Hallo Markus,

    die ThreemaID alleine lässt keine Rückschlüsse auf Person 2 zu.

    Rückschlüsse wären möglich über:

    Person 1 benennt die ThreemaID unter Kontakte in der App mit dem richtigen Namen von Person 2.

    Dann wäre, nach meinem Verständnis, auch der Name von Person 2 im Backup enthalten. Das wäre die einfachste Lösung.

    Alternativen:

    Person 1 verknüpft die ThreemaID von Person 2 mit einem Kontakt in seinem Adressbuch auf dem Handy.

    Person 2 verknüpft eine Emailadresse oder Telefonnummer mit seiner ThreemaID und Person 1 synchronisiert seine Kontakte.

    Bei beiden Varianten müsste der Kontakt auf dem Handy von Person 1 gespeichert sein.

    Wenn Person 2 Email oder Telefonnummer mit seiner ThreemaID verknüpft hat, kann man natürlich auch mit einem Backup und unter Kenntnis von Emailadresse und/oder Handynummer von Person 2 diesen Kontakt nachweisen.

    Person 1 ist also die größte Schwachstelle.

    Zloženie: 100% bavlna.

    Ja, Person 1 ist die größte Schwäche. Person 2 kann sich nicht auf die Sicherheit von Person 1 verlassen.

    Die Identität der Person 2 kann auch durch den Namen des gespeicherten Kontakts ermittelt werden, sie kann jedoch auch aus dem Kontext der Chat-Kommunikation ermittelt werden. So geschah es, auch aus dem Kontext des Chats ging hervor, wer es war.

    Wenn es möglich wäre, verschwindende Hütten auf beiden Seiten anzuordnen, selbst wenn Person 2 identifiziert würde, wäre in der Hütte nichts Verdächtiges.

    Ich denke, diese Funktion ist wichtig und fehlt in Threema.

    Dies ist der einzige Schutz, der sicherstellt, dass die Person geschützt ist 2.

    Ich kann versuchen, Threem und das Handy so gut wie möglich zu sichern. Wenn eine Person auf der anderen Seite ausfällt, kann die gesamte Kommunikation öffentlich werden.

    Zitat von Drawan

    Person 1 ist also die größte Schwachstelle.

    Bei dieser Analyse durchaus zutreffend ?

    Jedoch war in dieser ganzen Sache eine ganz andere Sache die wirkliche Schwachstelle :

    Nämlich das schwache Passwort von Person 1 !

    Diese Geschichte ist ein wahres Musterbeispiel für die Verwendung eines vernünftigen ( also starken ) Passwortes.

    Hoffentlich verbreitet sich diese Geschichte hier weiter und sorgt mit dafür, dass die Menschen mehr Wert auf ein starkes Passwort legen.

    Just my 2 Cent.

    Betriebssystem ==> IOS

        seit 12.09.2019

    Zitat von copdland

    Nämlich das schwache Passwort von Person 1 !

    Das Passwort wird ja auch von Person 1 ersonnen, daher wäre diese auch bei deiner Betrachtung immer noch die größte Schwachstelle :)

    Das Problem des (schwachen) Passwortes nochmal hervorzuheben, ist unabhängig davon natürlich absolut korrekt. :thumbup:

    Zloženie: 100% bavlna.

    Nach Angaben der Polizei und der Medien wurde das Passwort für das Threema-Backup im Handy gebrochen. Also ja, Person 1 hat wahrscheinlich ein schwaches Passwort verwendet. Diese Chats wurden dann vor Gericht verwendet, obwohl Threema Berichten zufolge nicht gebrochen wurde.

    Das Passwort muss wirklich sicher sein und es reicht nicht aus, sich nur auf Anonymität zu verlassen. Das Passwort steht an erster Stelle.

    Aber wie verlässt sich Person 2 darauf, dass Person 1 ein sicheres Passwort verwendet?

    Der Vorfall brachte einige Leute und Richter ins Gefängnis. Und Threema war eine große Diskussion in den Medien in meinem Land.

    Interessanter Fall, danke Ray! In dem Fall war es dann vermutlich gut, dass das Passwort geknackt wurde. :/

    Selbstzerstörende Nachrichten würden dir natürlich als Person 2 helfen. Aber nur dann, wenn die Nachrichten auch tatsächlich auf dem Gerät gelöscht und nicht einfach nur ausgeblendet werden. Ich kenne mich bei den anderen Messenger nicht genug aus, um das abschätzen zu können.

    Außerdem hilft es dir immer noch nicht, wenn du mit Namen im Chatverlauf angesprochen wirst oder Person 1 dich beschreibt. Seine Nachrichten könntest du auch mit selbstlöschenden Nachrichten, soweit mir bekannt ist, bei keinem Messenger auf seinem Handy löschen.

    Daher würde ich sagen, dass auch die anderen bekannten Messenger im betrachteten Fall nicht besser abgeschnitten hätten. Offensichtlich haben ja alle Beteiligten sich auf die Sicherheit verlassen, ansonsten hätten sie in der Gesprächsführung mehr aufgepasst.

    Kein Messenger kann sinnvoll für die Sicherheit auf einem der beteiligten Handys sorgen, da die Benutzer bei Threema (optional) ein Passwort für Öffnen der App oder (nicht optional) ein Backup setzen (siehe oben).

    Auf Seiten der Messenger geht es darum, dass auf dem Transportweg abgefangene Daten nicht verwendet werden können. Daher hat Threema auch kommentiert, dass die Verschlüsselung (zum Austausch von Nachrichten übers Internet) nicht geknackt wurde.

    Beste Grüße

    2 Mal editiert, zuletzt von Drawan (11. Januar 2021 um 22:10)

    Zitat von Markus

    Es sei denn, Threema hat auf beiden Seiten einen automatischen Chat-Löschvorgang.

    Bei Threema gibt‘s keinen ( auch automatisierten ) Löschvorgang.

    Das, was geschrieben und übermittelt wurde, kann nachträglich nicht zurück geholt oder gelöscht werden.

    Betriebssystem ==> IOS

        seit 12.09.2019

    Zloženie: 100% bavlna.

    Ja, in diesem Fall war es natürlich gut, dass das Passwort gebrochen wurde. Es wurde als echtes Beispiel für eine mögliche Sicherheitslücke oder einen möglichen Fehler des Benutzers angeführt, obwohl es fraglich sein kann, da das Passwort verwendet wurde, war es nur gebrochen.

    Diese Situation kann auch unter anderen Umständen auftreten.

    Ich denke immer noch, dass die Selbstzerstörende Nachrichten dieses Problem lösen würden. In diesem Fall muss ich mich nicht wirklich um Person 1 kümmern, was seine Sicherheit ist.

    Threema sollte diese Funktion hinzufügen, wenn andere Anwendungen sie bereits haben.

    Selbstzerstörende Nachrichten sind aber nur eine gefühlte und trügerische Sicherheit, da die 2. Person diese immer noch anderweitig kopieren kann.
    Selbst bei allen möglichen Kopierschutzverfahren (Bildschirmkopie blockieren etc). Kann man die auch immer noch abfotografieren.

    Ich denke nicht, wenn ich eine Person mit einer wichtigen privaten Nachricht teilen muss, die nach dem Lesen zerstört wird. Entweder müsste die Person jede einzelne Nachricht sofort kopieren oder ein Foto machen. Ich kann mir keine solche Handlung vorstellen, die zum Beispiel vor Gericht oder in einer anderen Diskreditierung anwendbar ist. Es ist anders, eine Kopie des Chat-Textes oder ein Foto des Chats zu haben, als wenn eine vollständige Sicherung des damit verknüpften Threema-Chats vorliegt. Aber vielleicht irre ich mich.