Threema pohorela, jej zabezpečenie prelomil študent v rámci diplomovej práce

Četovacia aplikácia Threema sa dlhodobo pýši svojim špičkovým šifrovaním a garantovaným súkromím pri komunikácii. Študent katedry informatiky na švajčiarskej vysokej škole ETH Zürich však pri písaní svojej diplomovej práce ukázal, že ani Threema v skutočnosti nie je neprelomiteľná.

V spolupráci so svojimi školiteľmi zo skupiny aplikovanej kryptografie Kien Tuong Truong predstavil niekoľko metód, ktorými bolo ešte donedávna možné prelomiť zabezpečenie aplikácie s viac ako 10 miliónmi používateľov po celom svete.

K nájdeniu viacerých zraniteľností v aplikácii došlo ešte v závere minulého roka. Trojica výskumníkov však spoločnosti poskytla niekoľko týždňov na ich opravu, čo Threema medzitým aj urobila. Samotná Threema vo svojej verejnej reakcii výskumnému tímu ďakuje za jeho aktivitu, no zároveň uvádza, že ani jedna z týchto zraniteľností nemala v reálnom svete žiaden dopad na bezpečnosť aplikácie.

Threema uvádza, že aj keď sú niektoré nájdenia výskumníkov z teoretického hľadiska zaujímavé, v reálnom prostredí bola možnosť ich zneužitia vysoko nepravdepodobná. Ako príklad uvádza jednu zo zraniteľností, pre ktorej zneužitie je podmienkou fyzický prístup k odomknutému Android zariadenu po dobu zhruba 12 hodín, pričom zaheslovaná nesmie byť ani samotná aplikácia Threema.

Ďalšie nájdenia mali byť z reálneho hľadiska absolútne nepoužiteľné, iné zas nezahŕňali zraniteľnosť v samotnej aplikácii, nakoľko sa z veľkej časti opierali o sociálne inžinierstvo s podmienkou „zámernej, rozsiahlej a nezvyčajnej spolupráce zo strany cieľového používateľa“.

Threema však aj napriek odmietaniu akejkoľvek možnosti reálneho zneužitia týchto zraniteľností podnikla viaceré kroky pre ich nápravu, vrátane výmeny komunikačného protokolu. Tento krok mala údajne spoločnosť plánovať už dlhšiu dobu a iba zhodou náhod sa jeho nasadenie zhodovalo s nájdením zraniteľností. Súčasný protokol Ibex mala Threema vyvíjať viac ako 1,5 roka v spolupráci s odborníkom na kryptografiu.

Švajčiarsky vývojári navyše oznámili, že Threema bude odteraz pravidelne prechádzať novými bezpečnostnými auditmi, ktoré sa pridajú k programu odmeňovania nálezcov bezpečnostných zraniteľností, ktorí si týmto spôsobom môžu prilepšiť sumou až do 10 000 švajčiarskych frankov, resp. eur.