Sicherheitsanalyse Gruppenmanagement (WhatsApp, Signal, Threema)
#1
Forscher der Ruhr Universität Bochum haben WhatsApp, Signal und Threema etwas unter die Lupe genommen und sich mal die Sicherheit der Gruppen angeschaut:
https://eprint.iacr.org/2017/713.pdf

Kurze Zusammenfassung für Threema:
  • Threema implementiert KEIN Forward Secrecy bzw. Future Secrecy (ist ja bekannt).
  • Der Benutzer bekommt keine Zustellungsbestätigung bei Gruppen (ist auch bekannt). Zustellung wird nur gegenüber dem Threema-Server mitgeteilt (Transportverschlüsselung).
  • Wenn ein Threema-User eine Nachricht an eine Gruppe sendet (er aber nicht Mitglied der Gruppe ist!), dann wird vom Gruppen-Administrator an dieses Nicht-Mitglied der Titel der Gruppe und die Mitglieder der Gruppe gesendet. Bedeutet, man bekommt Informationen, die man eigentlich nicht bekommen dürfte. Wurde in Threema 3.14 gefixt. Kann mir jemand den Grund dafür erläutern, warum das gemacht wurde?
  • Ein infizierter Server könnte Gruppennachrichten erneut senden (Replay-Attack). Dadurch können z. B. aus der Gruppe entfernte User heimlich wieder hinzugefügt werden, weil die Update-Nachricht dass ein neuer User in der Gruppe ist, nach der Entfernung einfach wieder gesendet werden kann. Wurde in Threema 3.14 gefixt.
  • Nachrichten, die von der Threema-App erhalten werden, sind nach der Zeit des Erhalts sortiert. Die Sendezeit ist außerdem nicht Ende-zu-Ende-verschlüsselt. Ein "böser Server" kann somit die Sortierung der Nachrichten durcheinanderbringen. Habe nichts dazu gefunden, dass das gefixt wäre?
Die zwei Fragen, die sich mir stellen:
Warum werden Nachrichten nach der Zeit des Erhalts und nicht nach der Sendezeit sortiert?
Warum ist die Sendezeit nicht Ende-zu-Ende-verschlüsselt? Threema hat sich doch den Schutz der Metadaten auf die Fahnen geschrieben.

Außerdem halte ich es nach wie vor für angebracht, wenn Threema an Perfect Forward Secrecy auf Ende-zu-Ende-Ebene arbeiten würde.

Eine Zustellungsbenachrichtigung (keine Lesebestätigung!) für Gruppen wäre auch noch eine Sache, die man evtl. machen sollte.

Edit: Das Paper ist schon etwas älter, es wurde aber wohl aktualisiert (neues Datum ist zumindest von 2018).
Zitieren
#2
Die Threema-Mitarbeiter sind evtl. die einzigen, die die restlichen Fragen beantworten können.
@"silly" @"Julia"
Zitieren
#3
Die Sendezeit ist nicht verschlüsselt, außerdem wird der öffentliche Nickname noch bei jeder Nachricht mitgeschickt. Klar, ist ein öffentlicher Nickname, aber trotzdem kann man das in den verschlüsselten Teil packen, dann muss man TLS nicht vertrauen.

Da werden also unnötigerweise Metadaten öffentlich.
Zitieren
#4
(11.01.2018., 19:27)Crixus schrieb: Die Sendezeit ist nicht verschlüsselt, außerdem wird der öffentliche Nickname noch bei jeder Nachricht mitgeschickt. Klar, ist ein öffentlicher Nickname, aber trotzdem kann man das in den verschlüsselten Teil packen, dann muss man TLS nicht vertrauen.

Da werden also unnötigerweise Metadaten öffentlich.

Nicht unnötigerweise. Der ursprüngliche Sinn des Nicknames war es doch, dass er bei iOS-Nutzern in der Benachrichtigung angezeigt wird.

Man erinnere sich: Bei iOS werden Benachrichtigungen traditionell direkt, ohne Aufruf der App, angezeigt und deshalb musste (zumindest bis vor kurzem) der Inhalt der Benachrichtigungen durch den Server mitgegeben werden.

Deshalb kann der Nickname auch nicht in den Ende-zu-Ende verschlüsselten Teil gepackt werden.
Zitieren
#5
(11.01.2018., 22:47)Claus schrieb: Man erinnere sich: Bei iOS werden Benachrichtigungen traditionell direkt, ohne Aufruf der App, angezeigt und deshalb musste (zumindest bis vor kurzem) der Inhalt der Benachrichtigungen durch den Server mitgegeben werden.
Das ist—zum Glück!—auch bei iOS inzwischen schon laaaaange Geschichte; ich denke, dass mittlerweile kaum mehr iPhones mit einem derart alten iOS tatsächlich noch betrieben werden.
Eigentlich ist der unverschlüsselte Nickname heute obsolet und könnte (sollte?) wohl abgeschafft werden.

Andy
Zitieren
#6
(12.01.2018., 22:58)schuschu schrieb: Naja, iOS garantiert Threema nicht dass sie Zeit zum entschlüsseln bekommen. Je nach Akkustand und Prozessorlast kann die Nachricht manchmal auch nicht im Hintergrund entschlüsselt werden..
Tatsächlich? Passiert in der Praxis aber wohl eher selten—ist mir jedenfalls noch nie untergekommen, dass eintreffende Nachrichten nicht schon im Hintergrund entschlüsselt worden wären und auf dem Lock Screen erschienen wären...


Andy
Zitieren
#7
(11.01.2018., 23:04)andyg schrieb: Eigentlich ist der unverschlüsselte Nickname heute obsolet und könnte (sollte?) wohl abgeschafft werden.

Wahrscheinlich schon. Also man muss den Nicknamen nicht abschaffen, aber man kann ihn ja aus dem Nichtverschlüsselten Teil entfernen und in den verschlüsselten Bereich verschieben.
Aber so eine Protokolländerung tut sich eben nicht mal so schnell. Im besten Fall akzeptieren alle Threema-Clients einen leeren "Nickname", aber wer weiß, was sie dann anzeigen.
Zitieren
#8
Schade, dass sich Threema bei solchen Sachen nie an der Diskussion beteiligt. :(
Zitieren
#9
Das hier liest sich doch ganz anders und viel besser: https://www.wired.com/story/whatsapp-sec...oup-chats/
Hier wird deutlich gesagt, dass von den 3 Messengern WA, Signal und Threema bei Threema alles bei weitem harmloser ist, als bei den beiden anderen, gefolgt von Signal und mit Abstand am übelsten wäre die Schwachstelle bei WA. Sowas sollte man doch mal offensiver ausschlachten... Zwincker
Zitieren
#10
(15.01.2018., 08:37)Kurisutian schrieb: Das hier liest sich doch ganz anders und viel besser: https://www.wired.com/story/whatsapp-sec...oup-chats/
Hier wird deutlich gesagt, dass von den 3 Messengern WA, Signal und Threema bei Threema alles bei weitem harmloser ist, als bei den beiden anderen, gefolgt von Signal und mit Abstand am übelsten wäre die Schwachstelle bei WA. Sowas sollte man doch mal offensiver ausschlachten...
Inzwischen auch bei Heise.
Tenor: Gruppen sind bei Signal am einfachsten zu „kapern“, gefolgt von WA. Threema schnitt am Besten ab—hier sei kein Mitlesen durch den Angreifer möglich:
Zitat:Bei Threema sehen die Forscher übrigens nur die Möglichkeit, verschlüsselte Nachrichten in Gruppen erneut zu versenden (lesen können sie diese Nachrichten nicht). Der Angreifer muss dafür ebenfalls die Hoheit über den Kontrollserver haben.
Quelle: “WhatsApp und Signal: Forscher beschreiben Schwächen verschlüsselter Gruppenchats | heise Security”

https://www.heise.de/security/meldung/Wh...42046.html
Zitieren
#11
Im Gegensatz zu heise's Beschreibung ist die Lücke nach Wire (und anderen Quellen wo ich es gehört habe) aber in WhatsApp am leichtesten auszunutzen und in Threema und Signal schwieriger, gerade da WhatsApp zur Gruppenverwaltung am stärksten den Server nutzt. (Bei Signal benötigt man auch Zugriff auf den Chatserver, das kommt bei heise nicht so heraus.)

Übrigens wurde das ja in v3.14 in Threema gefixt. Hier nochmal der Link zu der Erklärung von Threema's fix, den sie zu dieser Zeit veröffentlicht haben: https://threema-forum.de/thread-3150-pos...l#pid31797

Und @Crixus kennt jetzt also auch die Antwort auf die Frage "ob und wie andere Messenger das machen, z. B. Signal.". Lächeln
Zitieren
#12
Question 
Habe ich das richtig verstanden, es geht um Threema Version v.2.92.323?
Zitieren
#13
Ähm, nein, wo liest du das?

Nochmals auch gerne aus dem Original-Paper zitiert (Versionsnummer bezieht sich auf die Androidversion):

Zitat: They appreciated our effort and implemented a fix in Version 3.14
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Wie Facebook und WhatsApp die DSGVO ausnutzen, um massenhaft Infos abzugreifen lucifer 3 223 26.05.2018., 14:13
Letzter Beitrag: Magrathea
  heise.de - Whatsapp verabschiedet sich von Windows Phone 8 und Blackberry Mr. Meyhet 11 1.592 20.01.2018., 20:47
Letzter Beitrag: schlingo
  Threema und Whatsapp verschlüsselung snoopy100 16 1.982 19.08.2017., 19:50
Letzter Beitrag: Mogli