Neues Paper über altes Threema-Protokoll

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Brigitta Falls du wegen den Zitaten (auch) mich meinst: Den Link zum Original-Beitrag der ETH Zürich-Gruppe gibts hier. Am Ende des ersten Absatzes wiederum gibts den Link zum Paper.

    (Alles über Klick-Umwege zu finden über Beitrag #8 hier im Thread --> landbote.ch --> nzz.ch --> breakingthe3ma.app)

  • Die derzeitige Diskussion um Threema's Sicherheit, trägt nicht gerade dazu bei, die Leute weiter bei der Stange zu halten.

    Mir fliegt jetzt pausenlos "siehste...." um die Ohren. Schei.... :(

    Ich weiß nicht, wieso um dieses Paper so ein riesiges Tamtam gemacht wird. Dass in Open Source Software Schwachstellen gefunden werden, ist absolut normal. Wichtig ist, dass sie zeitnah behoben wurden. Die Sicherheit ist wiederhergestellt, niemand war in Gefahr.

    Einfach zur Einordnung hier ein anderes kürzlich erschienenes Paper, welches Matrix/Element betrifft. https://nebuchadnezzar-megolm.github.io/ - die gefundenen Schwachstellen sind meines Erachtens erheblich gravierender und konnten auch tatsächlich in der realen Welt ausgenutzt werden. Bis auf eine wurden auch in diesem Fall alle Issues behoben.

    Zitat:

    "its end-to-end encryption fell short of the security guarantees expected from it."

  • Für mich geht es wenig bis gar nicht um die Veröffentlichung und dessen Inhalt, sondern vorrangig um den Umgang von Threema damit.

    Die PR-Abteilung hatte 3 Monate Zeit, um sich zu überlegen, wie man damit umgeht und wusste, dass die Funde am Ende veröffentlicht werden.

    Dafür ist deren Umgang damit bestenfalls Fragwürdig

  • @holydiver

    danke, ja zum Schluss habe ich mich doch sehr gewundert und meinte auch dich. Wobei ich dies "dem Eifer des Gefechts" zuschrieb.

    Wenn wirklich ein Austausch gewünscht würde und nicht nur eine Sichtweise aufgedrückt werden soll, dann wären Quellen unnachgefragt, umfassend und nicht nur selektiv zugänglich gemacht worden. Um sich eine eigene Meinung bilden zu können.

    So, vor allem aber nach dem Threadverlauf sehe ich eine Selbstüberschätzung und Übergewichtung des eigenen Vorgehens und Willens. Es ist kein Austausch gewünscht, es geht um Meinungshoheit. Zuletzt um Alibifragen und verletzten Stolz, in meinen Augen.

  • Viele, als Zitat gekennzeichneten Texte hier sind nicht nachvollziehbar!

    Da die Quellenangabe und Verlinkung fehlt.

    Hallo :)

    ja, da sprichst Du (bei mir) einen wunden Punkt an. Ich bin ja Moderator und habe deshalb überlegt, darum zu bitten. In den Forenregeln eines anderen Forums heißt es dazu:

    Zitate sind aus rechtlichen Gründen eindeutig als solche erkenntlich zu machen und, falls aus externer Quelle, mit (verlinkter!) Quellenangabe zu versehen.

    Das ist auch meine Auffassung. Ich habe aber von einem Hinweis abgesehen, da das hier wohl nicht so eng gesehen wird. Trotzdem bitte ich darum, zukünftig vielleicht darauf zu achten.

    Gruß Ingo

  • Quellenangabe in meinem Beitrag #17

    twitter.com/3MA_RT_Deutsch/[...]

    Dazu sei gesagt: der twitter-Benutzer @3MA_RT_Deutsch ist ein von Threema (Originalbenutzer: @ThreemaApp) unabhängiger Benutzer, der die Originalnachrichten ins Deutsche übersetzt. Die genaue Wortwahl dieser Nachrichten sind demnach nicht von Threema, sondern ggf. der Übersetzung geschuldet.

  • @holydiver

    Wenn wirklich ein Austausch gewünscht würde und nicht nur eine Sichtweise aufgedrückt werden soll, dann wären Quellen unnachgefragt, umfassend und nicht nur selektiv zugänglich gemacht worden.

    Vielleicht eine Erklärung aus meiner Sicht: Ich habe die Geschichte über Threema und das Paper der ETH Zürich über einen anderen Kanal mitbekommen (es hat schon irgendwie die Runde gemacht) und bin erst spät hier ins Forum, um zu schauen, was man hier so meint. Rückblickend habe ich fälschlicherweise angenommen, dass alle die entsprechende Seite bereits gesehen/gelesen hatten und entsprechend mehr oder weniger auf einem aktuellen Stand sind oder zumindest wissen, wo man die grundlegende Information finden kann. Wie du schreibst: im Eifer des Gefechts...!

  • Na, toll! :(

    Kuketz wertet Threema ab.

    Die derzeitige Diskussion um Threema's Sicherheit, trägt nicht gerade dazu bei, die Leute weiter bei der Stange zu halten.

    Mir fliegt jetzt pausenlos "siehste...." um die Ohren. Schei.... :(

    Der Typ ist eh nicht neutral.

    Also für mich nicht von Belang, so lange die Messenger von ihm nicht alle wirklich neutral / gleich behandelt werden. :P

    Ciao
    Snoopy

    Threema-Nutzer seit 23.12.2020 (immer mit gleicher Threema-ID!) 8)
    Kein Backup? – Kein Mitleid! 8o

  • Dazu sei gesagt: der twitter-Benutzer @3MA_RT_Deutsch ist ein von Threema (Originalbenutzer: @ThreemaApp) unabhängiger Benutzer, der die Originalnachrichten ins Deutsche übersetzt. Die genaue Wortwahl dieser Nachrichten sind demnach nicht von Threema, sondern ggf. der Übersetzung geschuldet.

    Ja, die Tweets übersetze ich meist mit deepl.com und schleife die dann noch ein wenig rund bzw. schaue in die Formulierungen des deutschsprachigen Blogbeitrags von Threema. Aber ja, ganz wichtig - und auch besonders so gekennzeichnet - das ist keine offizielle Wortwahl von Threema, sondern meine persönliche.

  • Mal ein paar resümierende Worte und nachgereichte Links. Auch weil inzwischen noch weitere Artikel erschienen sind, die die Einordnung zumindest etwas klarer machen aus meiner Sicht.

    "Ich weiß nicht, wie ihr das seht, aber ich erwarte von meinem sicheren Messenger, dass der Hersteller nicht herumverhandelt und kleinredet, wenn Lücken gefunden werden, sondern die fixed und ein Post-Mortem veröffentlicht, wie das durch ihre QA kommen konnte."

    Quelle: https://blog.fefe.de/?ts=9d43e514

    Und ich hatte auch den Eindruck, dass die Lücken eher bagatellisiert wurden als dass hier eine wirkliche Auseinandersetzung stattgefunden hat. Wenigstens nicht öffentlich.

    "Die Forscher nennen dazu zwei Angriffsmöglichkeiten. Während ich Attack 7 (Compression Side-Channel) auch eher akademisch finde, ist Attack 6 (Cloning via Threema ID Export) durchaus gefährlich. Beim Grenzübertritt in sehr viele Staaten können Beamte das Entsperren des Smartphones fordern. Bei 99% aller Leute beschäftigen sie sich nur vielleicht eine Minute damit. Auch Ehegatten oder Kinder bekommen gelegentlich das entsperrte Smartphone kurz in die Hand. Die Zeit reicht nicht, um größere Datenmengen zu kopieren, aber mit Attack 6 ist der gesamte Threema Account in wenigen Sekunden kopiert."

    Quelle: https://www.heise.de/forum/heise-on…thread-7265432/

    "Kein PFS, Replay-Schutz über Nonce-Speicherung war auch damals objektiv nicht Stand der Technik. Damit hat die hochkarätige Forschergruppe ("der Student") völlig Recht, und diese Kritik hat sich Threema redlich verdient."

    Quelle: https://www.heise.de/forum/heise-on…thread-7265492/

    Letztendlich geht es bei Kryptographie darum nicht nur Alltagsszenarien zu verhindern, sondern auch Angriffe des Staates, der quasi unendliche Ressourcen hat. Da ist es durchaus erklärungsbedürftig, warum gewisse Standards nicht eingehalten worden sind bzw. warum Threema inzwischen PFS für notwendig hält, obwohl sie das lange Zeit nicht getan haben.

    "Spezielle Implementationen von Perfect Forward Secrecy lehnen die Hersteller ab, da dies ihrer Meinung nach die Komplexität des Protokolls und der Server unnötig erhöhen würde. So würde dies das Risiko für Sicherheitslücken und Ausfälle der Server vergrössern."

    Quelle: https://de.wikipedia.org/wiki/Threema

    Vieles wird eben heißer gekocht als es gegessen wird und der große Skandal steckt hierhin noch immer nicht. Wirklich gravierende Fehler scheinen mir, auch mit etwas Abstand, nicht gefunden worden zu sein. Eine tiefere Auseinandersetzung mit den Fehlern wäre dennoch wünschenswert gewesen, statt diesem "hier gibt es nichts zu sehen, bitte gehen Sie weiter". Ich sehe leider durchaus einen Schaden für Threema. Die Bewertung von Kuketz halte ich für völlig legitim. Die erfolgte schließlich nicht aufgrund der Masterarbeit, sondern aufgrund des fehlenden Audits des neuen Protokolls. Sobald das vorliegt, wird er das sicherlich auch wieder korrigieren.

  • "...ist Attack 6 (Cloning via Threema ID Export) durchaus gefährlich. Beim Grenzübertritt in sehr viele Staaten können Beamte das Entsperren des Smartphones fordern. Bei 99% aller Leute beschäftigen sie sich nur vielleicht eine Minute damit. Auch Ehegatten oder Kinder bekommen gelegentlich das entsperrte Smartphone kurz in die Hand. Die Zeit reicht nicht, um größere Datenmengen zu kopieren, aber mit Attack 6 ist der gesamte Threema Account in wenigen Sekunden kopiert."

    Attacke 6 funktioniert nur, wenn das Handy entsperrt ist, und das Opfer in der App keinen Schutzmechanismus festgelegt hat (die App-Sperre muss gar nicht aktiviert sein, es reicht, einen Mechanismus festzulegen).

    Das Szenario mit dem Grenzbeamten finde ich irrelevant. Wenn ein Handy entsperrt ist, wird der Grenzbeamte den Inhalt des Handys einfach klonen [1]. Alle Apps sind dann genauso betroffen, auch Signal. Dann muss sich der Beamte nicht die Mühe machen, eine Threema-ID zu exportieren. Wenn du unter Zwang das Gerät entsperren und dem Grenzbeamten übergeben musstest, kannst du sowieso davon ausgehen, dass es kompromittiert ist.

    Das Ehegatten-Szenario ist vielleicht realistischer, da man es nicht direkt bemerkt, aber was ist die Konsequenz davon? Spielt der eifersüchtige Ehepartner die exportierte ID auf einem anderen Handy ein, erscheint beim Opfer die Servernachricht "Der Server hat eine Verbindung von einem anderen Gerät mit derselben Threema-ID erkannt." [2]. Nehmen wir mal an, dass das Opfer diese immer wiederkehrende Warnung fahrlässig ignoriert. Nur das jeweils zuletzt beim Server angemeldete Gerät erhält eingehende Nachrichten. Diese fehlen dann beim anderen Gerät, was in einem Chat-Dialog sofort auffällt. Spätestens dann fliegt der Angriff auf. Ausgehende Nachrichten bekommt der Angreifer sowieso nicht mit.

    Bei anderen Apps, die auf der Handynummer basieren, muss man nicht einmal physischen Zugriff auf des Gerät haben, um das Konto zu übernehmen. Dort wird eine SMS an die angegebene Handynummer gesendet. Der Empfänger der SMS gibt den Verifizierungs-Code ein und schon ist er drin [3] und erhält ab diesem Zeitpunkt alle eingehenden Nachrichten. Bei den Chatpartnern erscheint dann lapidar "Ihre Sicherheitsnummer mit XY hat geändert". Dass SIM-Karten geklont und SMS umgeleitet werden können, nicht nur von staatlichen Akteuren, sollte allgemein bekannt sein.

    Was ist nun schlimmer?

    Und zum Schluss noch eine Side Channel-Attack auf Signal aus dem Jahr 2021, die ebenfalls die Kompromittierung des Langzeitschlüssels betrifft: https://eprint.iacr.org/2021/626.pdf

    Ich zitiere aus dem Abstract:

    Zitat

    Wir zeigen, dass die derzeitige Implementierung der Geräteregistrierung es einem Angreifer ermöglicht, ein eigenes, bösartiges Gerät zu registrieren, das ihm uneingeschränkten Zugriff auf die gesamte künftige Kommunikation seines Opfers gibt und sogar eine vollständige Übernahme der Identität ermöglicht. Dies zeigt direkt, dass die aktuelle Signal-Implementierung keine post-compromise security garantiert.

    Dieses Paper ist konstruktiv und in einem wissenschaftlichen Ton gehalten. Da wurde kein Drama gemacht, der Autor hat sich nicht in der Presse und auf Twitter aufgespielt. Was war die Reaktion von Signal (ebenfalls aus dem oben verlinkten Paper zitiert und übersetzt)?

    Zitat

    Zusammenfassend stellen sie fest, dass sie eine Kompromittierung von Langzeitschlüsseln nicht als Teil ihres Bedrohungsmodells betrachten. Daher planen sie derzeit nicht, den beschriebenen Angriff zu entschärfen oder eine der vorgeschlagenen Gegenmaßnahmen zu implementieren.

    Den Vergleich zur Reaktion von Threema überlasse ich dem geneigten Leser...

    [1] https://www.businessinsider.com/us-customs-dup…022-9?r=US&IR=T

    [2] Another connection for the same identity has been established.

    [3] https://de.answers.gethuman.com/WhatsApp/How-D…nt-Back/how-ebI

    Einmal editiert, zuletzt von Claus (14. Januar 2023 um 07:36) aus folgendem Grund: Korrektur: Handynummer -> Verfizierungs-Code

  • Danke, die 2. Seite des Threads hat mich nun doch sachlich und fachlich (was nicht heißt, ich kapiere nun alles) weiter gebracht.

    Zur Erklärung. Ich bin interessierte 0815 Nutzerin von Threema. Komme aus völlig anderen Berufen und setzte da auch nicht voraus, dass sich alle auskennen und sich auf verschiedenen Plattformen und Medien kundig machen. Wenn andere aber etwas interessiert, versuche ich das sachlich, und nicht einseitig zu erklären, oder Nachvollziehbar zu machen.

    Dass hier Freaks (nicht negativ gemeint) unterwegs sind weiß ich, und finde ich auch gut. Fachgespräche - wenn die sachlich und vielseitig sind - können einen tatsächlich weiter bringen. Wenn ihr lieber unter euch sein wollt, sagt es (Überheblichkeit gibt es überall, hier auch).

    Was Kuketz angeht: Schade, aber auch ich habe das nicht anders erwartet, nur vielleicht gehofft. Er leistet gute Arbeit, ist jedoch nicht neutral, was eigentlich jeder merken kann. Gurus und Anhänger sind selten bis nie gut. Je länger es Dauert, desto schlechter wird es (meine Erfahrung).

    Sorry, Genug gelabert...

  • Nach dem Threema 2 1/2 Monate Zeit hatte ein neues Protokoll auszurollen.

    Die Studies hätten denen auch einen 0-Day vor die Füße werfen können. Haben Sie aber nicht.

    Um aus dem Blogpost oben zu zitieren:

    Zitat

    The findings were disclosed to Threema on 2022-10-03 and acknowledged on the same day. The first server-side mitigations were deployed the same day. The first batch of client-side mitigations was released on 2022-10-27, more mitigations in the apps were published on 2022-11-29. Further mitigations and protocol improvements are being worked on. Development of Ibex (our protocol for PFS on the end-to-end layer) already began over a year ago and was initially released to both platforms in December. An independent formal security analysis is already on the way.

    (Deutsch: "Die Erkenntnisse wurden Threema am 2022-10-03 mitgeteilt und noch am selben Tag bestätigt. Die ersten serverseitigen Massnahmen wurden noch am selben Tag umgesetzt. Die ersten client-seitigen Massnahmen wurden am 27.10.2022 veröffentlicht, weitere Massnahmen in den Anwendungen wurden am 29.11.2022 veröffentlicht. An weiteren App- und Protokollverbesserungen wird derzeit gearbeitet. Die Entwicklung von Ibex (unserem Protokoll für PFS auf der Ende-zu-Ende-Schicht) begann bereits vor über einem Jahr und wurde im Dezember für beide Plattformen freigegeben. Eine unabhängige formale Sicherheitsanalyse ist bereits in Arbeit.")