V Threeme identifikované viaceré zraniteľnosti, podľa tvorcov nemali reálny dopad

Značky: bezpečnosť

DSL.sk, 13.1.2023

V známej mobilnej aplikácii pre bezpečnú komunikáciu Threema bolo identifikovaných sedem bezpečnostných zraniteľností.

Identifikovali ich bezpečnostní experti z ETH Zürich, tvorcov Threemy o nich informovali v októbri a zverejnili ich tento týždeň.

Podľa informácií tvorcov aplikácie jednotlivé problémy boli vyriešené do niekoľkých týždňov od oznámenia, v čase zverejnenia tak už boli odstránené.

Hlavne ale podľa tvorcov žiadny z problémov nikdy nemal významnejší reálny dopad.

Jedna zraniteľnosť bola už identifikovaná a opravená v roku 2021, jedna je podľa tvorcov čisto teoretická a nemala žiadnu praktickú použiteľnosť, štyri vyžadovali veľmi široké predpoklady ako napríklad dlhý fyzický prístup k odomknutému mobilnému zariadeniu a bez nastaveného hesla v aplikácii a jedna zraniteľnosť vyžadovala sociálne inžinierstvo, neobvyklú spoluprácu od užívateľa a podľa tvorcov sa prakticky nedala aplikovať.

Dve zo zraniteľností boli eliminované decembrovým nasadením nového protokolu označeného Ibex, ktorý okrem iného zaviedol Perfect Forward Secrecy nielen na transportnej ale aj na end-to-end vrstve. Pre každú správu je pomocou ECDH využitý nový dočasný kľúč a ani po prípadnom kompromitovaní kľúča užívateľa nie je možné dešifrovať staršie zachytené správy.

Threema je pomerne populárnou platenou mobilnou aplikáciou, ktorá umožňuje komunikovať najmä textovými správami cez Internet s end-to-end šifrovaním. End-to-end šifrovanie správ znamená, že správy odosielané odosielateľom nedokáže dešifrovať nikto iný okrem príjemcu, ani prevádzkovateľ služby. Threema má zverejnenú detailnú špecifikáciu a na konci roka 2020 zverejnila aj zdrojové kódy mobilnej aplikácie, webovej aplikácie a niektorých ďalších komponentov.




Najnovšie články:



Diskusia:

SIGNAL Od reg.: dElEtE | Pridané: 13.1.2023 12:58 Ako je na tom napriklad Signal? Odpovedať Známka: 6.0 Hodnotiť:

Re: SIGNAL Od: Karolko Za Kolko | Pridané: 13.1.2023 13:03 kazda aplikacia, ktora pouziva silne end to end sifrovanie bez ukladania sprav na servery je bezpecna. V clanku sa pise, ze islo o zranitelnosti, kde sa vyzadovala takmer 100% sucinnost s pouzivatelom. Odpovedať Známka: 4.0 Hodnotiť:

ultraradikálny špecifikácionalizmus Od: syntaxterrorXXX,. X | Pridané: 13.1.2023 13:11 Presne tak. A nakoľko všetci používatelia sú buď surrealistický maliari či stúpenci orfizmu, ktorý už syntetický kubizmus nechali dávno za sebou, je reálny dopad priekazne takmer 100% vylúčený. Odpovedať Známka: -1.7 Hodnotiť:

Re: ultraradikálny špecifikácionalizmus Od: MAJAK - neregistrovany original | Pridané: 13.1.2023 14:23 bezpečné komerčné komunikačné appky / protokoly sú threema, session, tox... ostatné majú nejaký háčik Odpovedať Známka: 10.0 Hodnotiť:

Re: ultraradikálny špecifikácionalizmus Od: hhh | Pridané: 14.1.2023 6:25 preco nie aj signal? Odpovedať Hodnotiť:

Re: ultraradikálny špecifikácionalizmus Od: MAJAK - neregistrovany original | Pridané: 14.1.2023 9:32 Signal vyžaduje tel. č., čo by nebol až taký problém, nakoľko je možné použiť "jednorazové", no čo je horšie, vyžaduje sa zdieľanie kontaktov, inak nie je možné komunikovať s inými osobami... porovnanie napríklad aj tu https://www.securemessagingapps.com/ Odpovedať Známka: 10.0 Hodnotiť:

Re: ultraradikálny špecifikácionalizmus Od: MAJAK - neregistrovany original | Pridané: 14.1.2023 9:37 a presne Session je forkovaný Signal, pozbavený tejto zátaže, preto je "v poriadku"... Odpovedať Hodnotiť:

Re: ultraradikálny špecifikácionalizmus Od reg.: M.Miiicho | Pridané: 16.1.2023 9:19 No pokial si dobre pamatam, tak na to tel.cislo maju nejaky protokol - to nie je fackabook co ti stiahne vsetky kontaky,identitu,fotky a predava/vykvakava to internetu. Odpovedať Hodnotiť:

Re: ultraradikálny špecifikácionalizmus Od reg.: MackoPu1 | Pridané: 14.1.2023 8:10 Vraj je bezpecna len kvantova komunikacia. A aj ta nie uplne lebo backdoor byva vraj aj display. Odpovedať Hodnotiť:

Re: SIGNAL Od: Vjkggv | Pridané: 13.1.2023 16:10 Blbost. Boli zranitelnosti v handleroch, vdaka ktorym si mohol lubovolny web precitat uzivatelovu lokalnu historiu sprav a podobne. Na to nepomoze ziadne sifrovanie, to je o pisani bezpecnych aplikacii. Odpovedať Známka: 6.7 Hodnotiť:

Re: SIGNAL Od: /dev/null | Pridané: 14.1.2023 11:47 Úplne rovnako ako Colgate Odpovedať Hodnotiť:

threemna Od: bvhvgvgg | Pridané: 13.1.2023 14:47 ja by som takym sifrovanym komunikaciam neveril ... staci sa pozriet jak dopadol marian :D Odpovedať Známka: 0.0 Hodnotiť:

Re: threemna Od: biela je rasisticka | Pridané: 13.1.2023 14:59 Marian si spravil nesifrovanu zalohu lebo vedel ze nahravky generalneho su slabota Odpovedať Známka: 10.0 Hodnotiť:

Re: threemna Od: Karolko Za Kolko | Pridané: 13.1.2023 15:21 Marian nemal heslo do threemy a ocividne kaslal na bezpecnost. Nebud ako Marian. Odpovedať Známka: 10.0 Hodnotiť:

ultraradikálny psychoanalyticizmus Od: syntaxterrorXXX,. X | Pridané: 13.1.2023 15:25 Na heslo do threemy je potrebný lekársky diplom. Bez neho je zasahovať do liečebného procesu paranoje priekazne nezákonné. Odpovedať Známka: -5.6 Hodnotiť:

titulok Od: hknmtt | Pridané: 13.1.2023 16:14 signal fuck the what Odpovedať Známka: 10.0 Hodnotiť:

hned by som vedel, komu spravit priam life-change ..prekvapko, a radost Od: Lyta Hochbatnica | Pridané: 13.1.2023 21:25 https://www.birdz.sk/ forum/co-ste-vyuceni /196129-tema.html :( :( :( strašne smutné, ten Kološko mladý, necitlivý pako-dobytek nj, kdybych byl už totým boháčem.. hned by som jej helfol.. (alebo, kde je Kollár, ten milovníák, (mladýchä) žen adívek v nesnázích ? ? čo tak rád robí charitu Odpovedať Hodnotiť:

Re: hned by som vedel, komu spravit priam life-change ..prekvapko, a radost Od: Faceless man | Pridané: 14.1.2023 11:46 Kočner left chat... Odpovedať Hodnotiť:

Re: hned by som vedel, komu spravit priam life-change ..prekvapko, a radost Od: Klávesnice | Pridané: 15.1.2023 10:22 Že birdz, jaký relikt z praveku... Odpovedať Hodnotiť:

Pridať komentár