Forscher der Ruhr Universität Bochum haben WhatsApp, Signal und Threema etwas unter die Lupe genommen und sich mal die Sicherheit der Gruppen angeschaut:
https://eprint.iacr.org/2017/713.pdf
Kurze Zusammenfassung für Threema:
- Threema implementiert KEIN Forward Secrecy bzw. Future Secrecy (ist ja bekannt).
- Der Benutzer bekommt keine Zustellungsbestätigung bei Gruppen (ist auch bekannt). Zustellung wird nur gegenüber dem Threema-Server mitgeteilt (Transportverschlüsselung).
- Wenn ein Threema-User eine Nachricht an eine Gruppe sendet (er aber nicht Mitglied der Gruppe ist!), dann wird vom Gruppen-Administrator an dieses Nicht-Mitglied der Titel der Gruppe und die Mitglieder der Gruppe gesendet. Bedeutet, man bekommt Informationen, die man eigentlich nicht bekommen dürfte. Wurde in Threema 3.14 gefixt. Kann mir jemand den Grund dafür erläutern, warum das gemacht wurde?
- Ein infizierter Server könnte Gruppennachrichten erneut senden (Replay-Attack). Dadurch können z. B. aus der Gruppe entfernte User heimlich wieder hinzugefügt werden, weil die Update-Nachricht dass ein neuer User in der Gruppe ist, nach der Entfernung einfach wieder gesendet werden kann. Wurde in Threema 3.14 gefixt.
- Nachrichten, die von der Threema-App erhalten werden, sind nach der Zeit des Erhalts sortiert. Die Sendezeit ist außerdem nicht Ende-zu-Ende-verschlüsselt. Ein "böser Server" kann somit die Sortierung der Nachrichten durcheinanderbringen. Habe nichts dazu gefunden, dass das gefixt wäre?
Die zwei Fragen, die sich mir stellen:
Warum werden Nachrichten nach der Zeit des Erhalts und nicht nach der Sendezeit sortiert?
Warum ist die Sendezeit nicht Ende-zu-Ende-verschlüsselt? Threema hat sich doch den Schutz der Metadaten auf die Fahnen geschrieben.
Außerdem halte ich es nach wie vor für angebracht, wenn Threema an Perfect Forward Secrecy auf Ende-zu-Ende-Ebene arbeiten würde.
Eine Zustellungsbenachrichtigung (keine Lesebestätigung!) für Gruppen wäre auch noch eine Sache, die man evtl. machen sollte.
Edit: Das Paper ist schon etwas älter, es wurde aber wohl aktualisiert (neues Datum ist zumindest von 2018).