近日,苏黎世联邦理工学院研究人员在安全审计中发现瑞士军队使用的安全通信软件Threema存在大量严重漏洞,并且已经存在很长时间。
该大学的应用密码学小组本周发布了研究论文(链接在文末),详细介绍了Threema自主开发的密码协议中的七个严重漏洞。利用这些漏洞,不法分子将能克隆帐户并读取用户消息,窃取私钥和联系人,甚至出于勒索目的炮制有害资料。
Threema总部位于瑞士,数据中心位于阿尔卑斯山地区,自称是比WhatsApp(编者:已经被瑞士军队禁用)更安全的非美国加密通信产品的替代品。Threema没有Signal或Telegram流行,但是对于瑞士军队这样的客户来说,小众的Threema似乎更安全,因为流行消息应用往往无法避免海外政府的窥探。
Threema目前拥有超过1000万用户和7000名本地客户——包括德国总理奥拉夫舒尔茨。
Threema在博客文章中淡化了研究者发现的漏洞,声称这些漏洞是在Threema停用的协议中发现的。“虽然这些漏洞从理论上讲可能很有趣,但它们没有对现实世界产生任何重大影响”。
以下是Threema的声明:
去年,苏黎世联邦理工学院计算机科学系的一名学生撰写了关于Threema通信协议的硕士论文。该大学现已将他的作品作为论文/预印本发表。但是,该论文基于不再使用的旧协议。调查结果不适用于Threema当前的通信协议“Ibex”,或者已经得到解决。他们都没有对现实世界产生过任何重大影响。
披露Threema漏洞的三位研究人员——计算机科学教授Kenneth Paterson和博士生Matteo Scarlata与Kien Tuong Truong在一个关于Threema安全漏洞的网站上指出,他们最初是在2022年10月向Threema披露了他们的发现,后者同意研究者在1月9日公开披露。
Threema于2022年11月下旬发布了其Ibex协议,研究人员表示尚未审核这一在漏洞发现后发布的新协议。不过研究人员表示“相信所有漏洞都已通过Threema最近的补丁得到缓解”。
在给The Register的电子邮件中,Paterson指出,Threema声明中的所谓“旧协议”,其实就是ibex协议发布之前使用的协议。
他补充说,Threema的声明“极具误导性,这令人非常失望。”
虽然安全研究人员承认这些漏洞不再对Threema客户构成威胁,但他们的发现仍然凸显了评估“自主开发加密协议安全声明”的困难性。
“理想情况下,任何使用新型加密协议的应用程序都应该进行正式的安全分析(以安全证明的形式),以提供强大的安全保证,”研究者补充道:“这样的分析有助于降低类似Threema这样的软件中暗藏更严重漏洞的风险。”
报告链接:
https://breakingthe3ma.app/files/Threema-PST22.pdf
图片:
Laurent Gilliéron (Keystone)
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。