Новости Эксперты опровергли безопасность протокола мессенджера Threema

[NewsMaker]

Аналитики обнаружили ошибки в системе защиты Threema, которые открывают полный доступ к учетной записи пользователя.​

---

---

Анализ криптографических протоколов анонимного мессенджера Threema Для просмотра ссылки Войди или Зарегистрируйся несколько уязвимостей, которые позволяют обойти защиту аутентификации и восстановить закрытые ключи пользователей.

Threema — это приложение для обмена зашифрованными сообщениями с более 11 млн. пользователей. По словам экспертов ETH Zurich, недостатки в криптографическом протоколе позволяют злоумышленнику:

• выдать себя за легитимного пользователя;
• изменить порядок сообщений в диалоге;
• клонировать учетную запись жертвы;
• использовать механизм восстановления резервной копии, чтобы получить закрытый ключ пользователя;
• незаметно получать доступ к будущим сообщениям пользователей без их ведома;
• получить доступ к серверам Threema для воспроизведения старых сообщений (это происходит, когда пользователь переустанавливает приложение или меняет устройство);

Кроме того, киберпреступник может провести атаку, при которой сервер злоумышленника обманом заставляет клиента «зашифровать сообщение по выбору сервера, которое может быть доставлено другому пользователю».

По Для просмотра ссылки Войди или Зарегистрируйся Theema, результаты анализа интересны с теоретической точки зрения, но они не оказали существенного влияния на реальный мир. Результаты предполагают обширные и нереалистичные предпосылки, которые могут иметь гораздо более серьезные последствия, чем сами выводы экспертов.

Исследователи сообщили о проблеме Threema, и компания в течение нескольких недель выпустила новый протокол связи под названием Ibex, который устраняет недостаток.