Beiträge von Claus

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    Mit dem Datenkabel. Aber die .zip Datei scheint ja OK zu sein.

    Hast du das Zip mal auf dem neuen Handy entpackt? Zum Beispiel mit der App ZArchiver? Ich vermute, dass die Datei auf dem Weg vom PC zum Handy beschädigt wurde.

    Ich verstehe generell nicht, warum selbst beim Backup ohne Medien (ca. 30MB) eine Restlaufzeit von knapp einer Stunde angezeigt wird

    Die Restlaufzeit muss sich natürlich zuerst einpendeln, aber 1 Stunde für 30MB auf einem modernen Handy ist auf jeden Fall viel zu viel. Bei mir dauerte es etwa so lange für 2 GB...


    Es weit schon alles irgendwie auf ein Problem mit der Zip-Datei hin.

    Ob die Tablet-Darstellung oder die Handy-Darstellung gewählt wird, hängt bei Android von der Bildschirmauflösung des Geräts ab. Viele Apps machen sich aber die Mühe einer speziellen Tablet-Version nicht.


    Der einfachste Weg, die Tablet-Darstellung zu verhindern ist demnach, die Auflösung kleiner einzustellen. Auf einem Samsung-Tablet macht man das mittels "Einstellungen / Anzeige / Bildschirmzoom". Dort reicht meist bereits eine oder zwei Stufen nach rechts (+). Gleichzeitig kannst du unter "Einstellungen / Anzeige / Schriftgröße und -stil" die Grösse um die gleiche Anzahl Stufen reduzieren, damit die Schrift nicht übermäßig groß wird.

    Oft liegt das daran, dass der Absender die Zeit zwar richtig eingestellt hat, aber eine falsche Zeitzone gewählt hat. Das kann passieren, wenn man aus dem Urlaub zurück ist und nur die Zeit anpasst.


    13 Uhr in Mitteleuropäischer Zeit entspricht zum Beispiel 16 Uhr in den Malediven.

    Seit einigen Versionen von Threema werden bei zwei Kontakten die Nachrichten nicht mehr als gelesen angezeigt.

    Jeder Nutzer kann selbst entscheiden, ob er Lesebestätigungen senden möchte oder nicht.

    Diese zwei Kontakte haben sie offenbar ausgeschaltet. Du musst also die Kontakte bitten, sie einzuschalten (entweder global unter Einstellungen / Privatsphäre / Lesebestätigungen senden oder in den Kontaktdetails deines Kontakts).

    Es ist schwierig, verschiedene Linux-Distributions unter einen Hut zu bringen, da sich diese bezüglich Ausstattung oft unterscheiden.

    libdrm 1.x gibt's bei openSuSE nicht mehr. Soviel ich weiss, ist das aber eine Dependency von Electron, die für Threema Web nicht relevant ist.


    rpm -Uhv --nodeps --force Threema-Latest.rpm


    sollte das Problem lösen. Bei mir sind jedenfalls mit Leap 15.4 keine Probleme aufgetreten.

    Also habe ich die aktuelle .apk über den Threema-Shop mit bestehenden Lizenzschlüssel heruntergeladen. Beim Aktualisieren erhalte ich allerdings folgende Nachricht: "Die App wurde nicht installiert, da das Paket offenbar ungültig ist"

    Das kann auch passieren, wenn du versuchst, eine Threena Shop-Version über eine Google Play-Version zu installieren.

    Könntest du einen Screenshot von Menü / Einstellungen / Über Threema posten? - relevant ist der erste Eintrag unter "Version".

    "...ist Attack 6 (Cloning via Threema ID Export) durchaus gefährlich. Beim Grenzübertritt in sehr viele Staaten können Beamte das Entsperren des Smartphones fordern. Bei 99% aller Leute beschäftigen sie sich nur vielleicht eine Minute damit. Auch Ehegatten oder Kinder bekommen gelegentlich das entsperrte Smartphone kurz in die Hand. Die Zeit reicht nicht, um größere Datenmengen zu kopieren, aber mit Attack 6 ist der gesamte Threema Account in wenigen Sekunden kopiert."

    Attacke 6 funktioniert nur, wenn das Handy entsperrt ist, und das Opfer in der App keinen Schutzmechanismus festgelegt hat (die App-Sperre muss gar nicht aktiviert sein, es reicht, einen Mechanismus festzulegen).


    Das Szenario mit dem Grenzbeamten finde ich irrelevant. Wenn ein Handy entsperrt ist, wird der Grenzbeamte den Inhalt des Handys einfach klonen [1]. Alle Apps sind dann genauso betroffen, auch Signal. Dann muss sich der Beamte nicht die Mühe machen, eine Threema-ID zu exportieren. Wenn du unter Zwang das Gerät entsperren und dem Grenzbeamten übergeben musstest, kannst du sowieso davon ausgehen, dass es kompromittiert ist.


    Das Ehegatten-Szenario ist vielleicht realistischer, da man es nicht direkt bemerkt, aber was ist die Konsequenz davon? Spielt der eifersüchtige Ehepartner die exportierte ID auf einem anderen Handy ein, erscheint beim Opfer die Servernachricht "Der Server hat eine Verbindung von einem anderen Gerät mit derselben Threema-ID erkannt." [2]. Nehmen wir mal an, dass das Opfer diese immer wiederkehrende Warnung fahrlässig ignoriert. Nur das jeweils zuletzt beim Server angemeldete Gerät erhält eingehende Nachrichten. Diese fehlen dann beim anderen Gerät, was in einem Chat-Dialog sofort auffällt. Spätestens dann fliegt der Angriff auf. Ausgehende Nachrichten bekommt der Angreifer sowieso nicht mit.


    Bei anderen Apps, die auf der Handynummer basieren, muss man nicht einmal physischen Zugriff auf des Gerät haben, um das Konto zu übernehmen. Dort wird eine SMS an die angegebene Handynummer gesendet. Der Empfänger der SMS gibt den Verifizierungs-Code ein und schon ist er drin [3] und erhält ab diesem Zeitpunkt alle eingehenden Nachrichten. Bei den Chatpartnern erscheint dann lapidar "Ihre Sicherheitsnummer mit XY hat geändert". Dass SIM-Karten geklont und SMS umgeleitet werden können, nicht nur von staatlichen Akteuren, sollte allgemein bekannt sein.


    Was ist nun schlimmer?


    Und zum Schluss noch eine Side Channel-Attack auf Signal aus dem Jahr 2021, die ebenfalls die Kompromittierung des Langzeitschlüssels betrifft: https://eprint.iacr.org/2021/626.pdf

    Ich zitiere aus dem Abstract:

    Zitat

    Wir zeigen, dass die derzeitige Implementierung der Geräteregistrierung es einem Angreifer ermöglicht, ein eigenes, bösartiges Gerät zu registrieren, das ihm uneingeschränkten Zugriff auf die gesamte künftige Kommunikation seines Opfers gibt und sogar eine vollständige Übernahme der Identität ermöglicht. Dies zeigt direkt, dass die aktuelle Signal-Implementierung keine post-compromise security garantiert.

    Dieses Paper ist konstruktiv und in einem wissenschaftlichen Ton gehalten. Da wurde kein Drama gemacht, der Autor hat sich nicht in der Presse und auf Twitter aufgespielt. Was war die Reaktion von Signal (ebenfalls aus dem oben verlinkten Paper zitiert und übersetzt)?

    Zitat

    Zusammenfassend stellen sie fest, dass sie eine Kompromittierung von Langzeitschlüsseln nicht als Teil ihres Bedrohungsmodells betrachten. Daher planen sie derzeit nicht, den beschriebenen Angriff zu entschärfen oder eine der vorgeschlagenen Gegenmaßnahmen zu implementieren.

    Den Vergleich zur Reaktion von Threema überlasse ich dem geneigten Leser...


    [1] https://www.businessinsider.co…ers-wapo-2022-9?r=US&IR=T

    [2] Another connection for the same identity has been established.

    [3] https://de.answers.gethuman.co…sapp-Account-Back/how-ebI

    Die derzeitige Diskussion um Threema's Sicherheit, trägt nicht gerade dazu bei, die Leute weiter bei der Stange zu halten.

    Mir fliegt jetzt pausenlos "siehste...." um die Ohren. Schei.... :(

    Ich weiß nicht, wieso um dieses Paper so ein riesiges Tamtam gemacht wird. Dass in Open Source Software Schwachstellen gefunden werden, ist absolut normal. Wichtig ist, dass sie zeitnah behoben wurden. Die Sicherheit ist wiederhergestellt, niemand war in Gefahr.


    Einfach zur Einordnung hier ein anderes kürzlich erschienenes Paper, welches Matrix/Element betrifft. https://nebuchadnezzar-megolm.github.io/ - die gefundenen Schwachstellen sind meines Erachtens erheblich gravierender und konnten auch tatsächlich in der realen Welt ausgenutzt werden. Bis auf eine wurden auch in diesem Fall alle Issues behoben.


    Zitat:

    "its end-to-end encryption fell short of the security guarantees expected from it."

    Kann jemand fachlich einschätzen, was es mit den "basic design flaws" auf sich hat, bzw. wie diese einzuschätzen sind. Ist das ne Meinung der Autoren, über die man sich streiten kann? Sind sie vollkommen beseitigt? ...

    Die Autoren (wenn man gewisse Passagen im Paper liest, ganz offensichtliche Fanboys) messen alles an Signal und ignorieren dabei alles, was besser gelöst ist als bei Signal. Vor diesem Hintergrund ist "basic design flaws" zu verstehen.

    Konkret führen sie drei kryptographische Eigenschaften an, die Signal hat und Threema nicht hatte. Dazu zählt in erster Linie PFS auf E2E-Ebene, sowie session key separation und post-compromise security.


    Ibex und die kürzlichen Anpassungen gewährleisten auf jeden Fall mal die ersten zwei Eigenschaften.


    Bei der dritten kommt Threema eine Designentscheidung in die Quere, dass der Langezitschlüssel und die ID fest miteinander verbunden sind. Das heißt, in einem post-compromise-Fall muss eine neue ID erstellt werden. Bei Signal hingegen kann der Langzeitschlüssel wechseln, weil es ein Adressierungselement gibt, von dem man ausgehen kann, dass es nur dem Inhaber gehört, nämlich die Handynummer.


    In der Praxis kann der Anbieter einfach eine SMS an die Handynummer mit einem Verifizierungscode senden. Wenn der Nutzer diesen korrekt eingibt, bekommt er einen neuen Langzeitschlüssel und kann sicher weiterchatten. Bei den Chatpartnern erscheint dann die Nachricht "Ihre Sicherheitsnummer mit XY hat geändert". Der Haken an der Sache ist, dass SMS nicht wirklich sicher sind und sich einfach umleiten lassen. Ebenfalls lässt sich durch Klonen einer SIM-Karte eine Handynummer übernehmen. Das ist aus meiner Sicht ein fundementaler Nachteil von Signal und anderen Messengern, die mit der Handynummer als Identität arbeiten. Um die Übernahme der Identität zu erschweren, hat Signal deshalb als zusätzlichen Faktor vor einiger Zeit die Signal-PIN eingeführt.


    Ich finde die Lösung von Threema besser, weil die ID anonym ist - halt mit dem Nachteil, dass man im post-compromise-Fall eine neue Identität bekommt.

    Ich bin mir sicher, damit hat Threema mehr Kunden verloren als gewonnen.

    Sehe ich nicht so.


    Ich habe mir die Mühe gemacht, das Paper dieses Masterstudenten durchzulesen.


    Das ist so herablassend formuliert, dass ich die etwas gereizte Reaktion verstehen kann. Vor allem vor dem Hintergrund, dass die Kritikpunkte wirklich extrem konstruiert sind und die Auswirkungen gering (sofern die Angriffe überhaupt funktionieren). Dazu kommt penetrante Werbung für Signal und die alternativlose Empfehlung, libsignal zu verwenden. Das ist meiner Meinung nicht seriös. Monokultur ist nie gut. Heartbleed schon vergessen?


    Threema hat vielleicht Glück gehabt, dass Ibex gerade rechtzeitig fertig wurde (so ein Protokoll hat man nicht in ein paar Tagen entwickelt und ausgerollt), aber sich von einem Masterstudenten beleidigen zu lassen, würde ich mir auch nicht gefallen lassen.

    nach einem Wechsel auf die Version 5.0.1 Libre und deren Installation über F-droid am letzte Wochenende fehlt das Icon zum Einfügen von Smileys. Tastatur, Mikrofon-Icon etc. sind vorhanden, nur das Icon für die Smileys fehlt.

    Hallo!


    Hier findest du die Antwort zu deiner Frage.


    Viele Grüße

    Claus

    Antwort des Informatikstudents war, selbst Threema sammelt am Ende irgendwelche Daten und wenn es Threema selbst tut, dann das der ISP (Internetprovider), denn diese Daten sind zur Komunikation notwendig. Dann bräuchten behörden nur den Netwerklock o.ä. Dann hätten Behörden die sensiblen Daten. Diese Knotenpunkte müssten angeblich 7Tage lang gespeichert werden. Wie geht Threema sicher, das wirklich keine Daten anfallen. Verschleiert Threema meine Identität?

    Ohne IP-Adressen funktioniert nichts im Internet. Sonst wissen die Router gar nicht, wohin sie deine Pakete schicken sollen. Du kannst das etwas verschleiern, indem zu z.B. Tor oder ein VPN benutzt.


    Allerdings hat dein Informatikstudent schon arg übertrieben. Die IP-Adresse allein sagt den Behörden nur, dass und wie oft du Threema benutzt und nicht mit wem du kommunizierst und was du kommunizierst. Die Tatsache, dass du Threema benutzt macht dich an und für sich nicht verdächtig, schließlich tut es Scholz ja auch.


    Etwas problematischer ist, wenn der Feind auf dem Server sitzt, wie es zum Beispiel bei Signal der Fall ist - die benutzen Server von Amazon oder Google. Die Probleme und Konsequenzen hat Kuketz hier anschaulich beschrieben: Signal: Welche Metadaten hinterlässt der Messenger bei Amazon und Co.?


    Was Matrix betrifft, so ist das bezüglich Metadaten, die bei Dritten entstehen, mit Abstand die schlechteste Wahl. Die Föderation hat zwar einige Vorteile, erkauft diese aber mit einer deutlich erhöhten Komplexität, welche dazu führt, dass mehr Metadaten entstehen und diese auch noch auf mehrere Akteure verteilt werden. Dadurch bestimmt das schwächste Glied in der Kette den Schutzstandard. Da viele Matrix-Server von Hobby-Informatikern betrieben werden und ein solches System ein klassisches Konto mit Nutzernamen und Passwort voraussetzt (im Gegensatz zu Threema wo der "Login" am Server allein durch Schlüsselableitung erfolgt), kann es dann zu solchen Vorfällen kommen: Matrix.org-Server gehackt

    Ich habe die selbe Fehlermeldung, obwohl Threema Zugriffsrechte auf meinen Downloadordner, auf den ich das Backup kopiert hatte, hat. Keine Ahnung, wieso es nicht funktioniert.

    Muss die Zip Datei vielleicht vorher entpackt werden?

    Nein, die Zip-Datei muss nicht entpackt werden.


    Die Fehlermeldung erscheint, wenn Threema nicht ins sekundäre Verzeichnis schreiben kann, welches das Betriebssystem der App zuweist. Da dieser Speicherbereich fest der App zugewiesen ist, braucht sie keine Berechtigungen, um darauf zuzugreifen. Daran liegt's also nicht.


    Mögliche Gründe, wieso das sekundäre Verzeichnis nicht zur Verfügung steht:

    • Der Speicher (oftmals auch "USB-Speicher" genannt, da man darauf per USB zurückgreifen kann) ist voll
    • SD-Karte als Erweiterung des internen Speichers formatiert oder App auf SD-Karte installiert
    • Versuch, die App in einem Gast-Profil zu installieren
    • Versuch, die App auf einem vom Arbeitgeber verwalteten Gerät zu installieren und der Arbeitgeber hat gewisse Einschränkungen gesetzt (offenbar gibt es auf einigen verwalteten Samsung-Geräten zudem einen Bug, dass das sekundäre Verzeichnis bei der Installation einer App nicht erstellt wird)
    • Handy wurde neu eingerichtet und die App-Daten mit einer Fremdsoftware rüberkopiert (z.B. SmartSwitch). Da SmartSwitch mit Threema nicht klarkommt, wird das Verzeichnis kurzerhand mit den Ownerships aus der früheren Installation erstellt. Dadurch kann die neu installierte Threema-App nicht auf das Verzeichnis zugreifen, da es ja noch der alten Instanz gehört. Lösung in diesem Fall: Threema deinstallieren. Mit einem Dateimanager oder vom PC aus das Verzeichnis Android/data/ch.threema.app vollständig löschen. Threema neu installieren. Backup einspielen.

    Ich hoffe, das hilft weiter bei der Fehlersuche.