Für mich geht es wenig bis gar nicht um die Veröffentlichung und dessen Inhalt, sondern vorrangig um den Umgang von Threema damit.
Die PR-Abteilung hatte 3 Monate Zeit, um sich zu überlegen, wie man damit umgeht und wusste, dass die Funde am Ende veröffentlicht werden.
Dafür ist deren Umgang damit bestenfalls Fragwürdig
Ich mag keine selbst formulierten (und damit interpretierten) "Zitate".
Austausch verschiedener Meinungen aber sehr wohl...
Okay... Dann zwei Original Zitat
There’s a new paper on Threema’s old communication protocol. Apparently, today’s academia forces researchers and even students to hopelessly oversell their findings.
Der zweite Satz hätte einfach nicht sein müssen
und
"Despite the *theoretical nature* of these findings and as part of our continued commitment to maintain our strict standards of integrity and security, we have implemented appropriate measures to *address* those findings [...]"
Und auch hier.
Nach dem Threema 2 1/2 Monate Zeit hatte ein neues Protokoll auszurollen.
Die Studies hätten denen auch einen 0-Day vor die Füße werfen können. Haben Sie aber nicht.
Und das nächste mal wenn Irgendwer einen Sicherheitslücke findet, wird sich die Reaktion von Threema ansehen uns sich überlegen ob man sich von einer PR Abteilung als Egomane hinstellen lassen möchte oder ob man zum nächst-Besten Exploitkäufer läuft und sich da seine Tastatur vergolden lässt.
Zum Thema "Herablassender Ton"
Ja sehe ich auch so, die Formulierungen sind an einigen Stellen eher Flach und unprofessionell, da hätte man deutlich besser schreiben können.
Aber das sind Studenten, von einer PR Abteilung einer Firma erwarte ich mehr.
Das ist möglich. Du kannst eine Message vom Typ "location" (
0x10) senden. Wie die E2E-Box genau aussehen muss, ist hier beschrieben:
Yaix... Ich hab die ganze Zeit nur bei Basic Mode gesucht und gar nicht bei E2E.
Thx dafür 
Übrigens: Auf der Seite ist ein kleiner Bug, der in der internen Threema Doku bereits gefixed ist.
<latitude>,<longitude>[,<accuracy>]
kann auch ohne die darauffolgende Zeile <address> gesendet werden.
Schick, probier ich am WE mal aus thx
Halli Hallo,
mein aktuelles Projekt ist einen Fahrrad-Tracker der per NB-IoT bzw. LTE Daten verschicken kann.
Da ich keine sonderlichen Ambitionen habe, nur für das eine Projekt Unsummen auszugeben, dachte ich mir, ich 'mache das über die Threema Gateway und lasse mir die Benachrichtigungen über Threema senden'.
Jedoch habe ich bisher keine Möglichkeit gefunden, über die API einen Standort-Flag zu schicken.
Ja, theoretisch kann ich mir die Geo-Koordinaten als Text schicken lassen, aber ein anklickbarer link wäre schon schöner 
Daher meine Frage:
Habe ich das einfach nur übersehen oder gibt es die Funktion über die Gateway (derzeit) nicht?
Beste Grüße
Ich bin auch einer dieser "Early Adopter" von Threema... Mit dem Versuch den Großteil meiner Kommunikation über Threema abzuwickeln...
Aber mit der Aussage in dem Blogartikel macht sich Threema latent lächerlich. O_o
Mag sein, dass die Umstellung auf Ibex vor dem Disclosure der ETH geplant war.
Fakt ist aber, dass Threema Anfang Oktober über die Funde informiert wurde und diese noch 2 1/2 Monate theoretisch ausnutzbar gewesen wären.
Anstatt jetzt zu sagen
"Jo war alles korrekt, mea culpa, aber wir wurden darauf aufmerksam gemacht. Auch wenn das bei uns auf der Roadmap stand, haben wir das in der Zwischenzeit geflickt und dank responsible Disclosure ist das in einem geordnetem Zeitrahmen gelaufen"
Kommt ein
"Jaaa, die Angriffe sind ja alle nur Theoretisch, außerdem ist das ja alles Schnee von gestern - Betrifft die aktuelle Version doch gar nicht
mehr, Warum berichtet Ihr da also überhaupt drüber!!111!1!!????"
Ich bin mir sicher, damit hat Threema mehr Kunden verloren als gewonnen.
