Eine umfassende Analyse der kryptografischen Protokolle, die in der schweizerischen verschlüsselten Messaging-Anwendung Threema verwendet werden, hat eine Reihe von Schlupflöchern aufgedeckt, die ausgenutzt werden könnten, um den Authentifizierungsschutz zu brechen und sogar die privaten Schlüssel der Nutzer/innen zu erlangen.
Die sieben Angriffe umfassen drei verschiedene Bedrohungsmodelle, so die ETH-Forscher Kenneth G. Paterson, Matteo Scarlata und Kien Tuong Truong, die Threema am 3. Oktober 2022 über die Lücken informierten. Die Schwachstellen wurden inzwischen im Rahmen von Updates behoben, die das Unternehmen am 29. November 2022 veröffentlichte.
Threema ist eine verschlüsselte Messaging-App, die im Oktober 2022 von mehr als 11 Millionen Nutzern verwendet wurde. „Sicherheit und Datenschutz sind tief in der DNA von Threema verwurzelt“, erklärt das Unternehmen auf seiner Website.
Threema wird offiziell von der Schweizer Regierung und der Schweizer Armee genutzt und als sichere Alternative zu anderen Diensten wie Signal, dem Meta-eigenen WhatsApp und Telegram beworben.
Obwohl Threema mindestens zweimal von Dritten geprüft wurde – einmal im Jahr 2019 und ein zweites Mal im Jahr 2020 – zeigen die jüngsten Ergebnisse, dass diese Prüfungen nicht gründlich genug waren, um die Probleme im „kryptografischen Kern der Anwendung“ aufzudecken.
„Idealerweise sollte jede Anwendung, die neuartige kryptografische Protokolle verwendet, mit eigenen formalen Sicherheitsanalysen (in Form von Sicherheitsnachweisen) ausgestattet sein, um starke Sicherheitsgarantien zu bieten“, so die Forscher.
Kurz gesagt, die Angriffe könnten den Weg für eine Vielzahl von Angriffsszenarien ebnen: Ein Angreifer könnte sich als Kunde ausgeben, die Reihenfolge der zwischen zwei Parteien ausgetauschten Nachrichten umstellen, das Konto eines Opfers klonen und sogar den Backup-Mechanismus ausnutzen, um den privaten Schlüssel des Nutzers wiederherzustellen.
Die beiden letztgenannten Angriffswege, die einen direkten Zugriff auf das Gerät des Opfers erfordern, könnten schwerwiegende Folgen haben, da sie es dem Angreifer ermöglichen, heimlich und ohne das Wissen des Opfers auf dessen zukünftige Nachrichten zuzugreifen.
Außerdem wurde ein Replay- und Reflection-Angriff im Zusammenhang mit der Android-App aufgedeckt, der auftritt, wenn Nutzer/innen die App neu installieren oder das Gerät wechseln, wodurch ein böser Akteur mit Zugang zu den Threema-Servern alte Nachrichten abspielen kann. Ein ähnlicher Replay-Angriff wurde im Januar 2018 festgestellt.
Nicht zuletzt könnte ein Angreifer auch einen sogenannten Kompromat-Angriff durchführen, bei dem ein bösartiger Server einen Client dazu verleitet, „unwissentlich eine vom Server ausgewählte Nachricht zu verschlüsseln, die an einen anderen Nutzer übermittelt werden kann“.
Der Forscher Jonathan Krebs von der Universität Erlangen-Nürnberg hat Threema auf diesen Angriff aufmerksam gemacht und das Unternehmen dazu veranlasst, im Dezember 2021 Korrekturen zu veröffentlichen (Version 4.62 für Android und Version 4.6.14 für iOS).
„Die Verwendung moderner, sicherer Bibliotheken für kryptografische Primitive führt nicht von alleine zu einem sicheren Protokolldesign“, so die Forscher. „Bibliotheken wie NaCl oder libsignal können bei der Entwicklung komplexerer Protokolle missbraucht werden, und die Entwickler müssen aufpassen, dass sie sich nicht in einem falschen Sicherheitsgefühl wiegen.
„Das Mantra ‚don’t roll your own crypto‘ ist inzwischen weithin bekannt und sollte auf ‚don’t roll your own cryptographic protocol‘ ausgeweitet werden (vorausgesetzt, es gibt bereits ein Protokoll, das den Anforderungen des Entwicklers entspricht)“, fügten sie hinzu. „Im Fall von Threema könnte das maßgeschneiderte C2S-Protokoll durch TLS ersetzt werden.“
Auf Nachfrage teilte Threema The Hacker News mit, dass das Unternehmen ein neues Kommunikationsprotokoll namens Ibex veröffentlicht hat, das „einige der Probleme überflüssig macht“, und fügte hinzu, dass das Unternehmen „sofort gehandelt hat, um innerhalb weniger Wochen Korrekturen für alle Feststellungen zu implementieren“.
„Einige der Erkenntnisse […] mögen zwar theoretisch interessant sein, aber keine von ihnen hatte jemals nennenswerte Auswirkungen in der realen Welt“, so das Unternehmen weiter. „Die meisten gehen von umfangreichen und unrealistischen Voraussetzungen aus, die weitaus größere Folgen haben würden als die jeweilige Erkenntnis selbst.“
Das Unternehmen wies auch darauf hin, dass einige der Angriffe darauf beruhen, dass man über einen längeren Zeitraum physischen Zugang zu einem entsperrten Mobilgerät hat, so dass das „gesamte Gerät als kompromittiert angesehen werden muss“.
Die Studie erscheint fast sechs Monate, nachdem Forscher der ETH Zürich kritische Schwachstellen im MEGA-Cloud-Speicherdienst aufgedeckt haben, die als Waffe eingesetzt werden könnten, um die privaten Schlüssel zu knacken und die Privatsphäre der hochgeladenen Dateien vollständig zu gefährden.
Im September 2022 deckte eine andere Forschergruppe eine Reihe von Sicherheitslücken im dezentralen Echtzeit-Kommunikationsprotokoll Matrix auf, die es einem böswilligen Serverbetreiber ermöglichen, Nachrichten zu lesen und sich als Nutzer auszugeben, wodurch die Vertraulichkeit und Authentizität des Dienstes untergraben wird.