Objavljeno:

Zaupanje v aplikacije za varno komuniciranje

Threema je mobilna aplikacija za (hm) varno pošiljanje sporočil. Aplikacijo razvija istoimensko švicarsko podjetje Threema GmbH, strežniki preko katerih poteka šifrirana komunikacija (od začetne do končne točke - angl. end-to-end encryption), pa se nahajajo v Švici. Aplikacija je plačljiva, in naj bi imela več kot 10 milijonov uporabnkov, med drugim jo uporabljajo tudi nemški kancler Olaf Scholz, švicarska vlada in švicarska vojska. Threema se oglašuje kot “najbolje prodajan varen program za pošiljanje sporočil na svetu in varuje vaše podatke iz rok hekerjev, korporacij in vlad”. Pa je res?

Kot kaže najnovejša varnostna analiza treh kriptografov iz ETH Zurich, ima Threema kar nekaj varnostnih ranljivosti. Varnostni raziskovalci so namreč odkrili sedem različnih napadov na Threemin protokol, analiza pa je pokazala tudi, da Threema ni uporabljala mehanizma tim. poudarjene zaupnosti (angl. forward secrecy), ter zaščite pred napadi ponovnega predvajanja (angl. replay attacks), refleksije (angl. reflection attack) in preurejanja (angl. reordering attacks). Po mnenju raziskovalcev, ki so naredili varnostno analizo vse pomanjkljivosti izvirajo iz tega, da so pri Threemi razvili lasten kriptografski protokol, namesto, da bo uporabili kakšnega od že uveljavljenih.

Žal odkrite pomanjkljivosti niso nove. Varnostna analiza objavljena na blogu Dhole Moments je namreč že leta 2021 pokazala na številne pomanjkljivosti in ranljivosti v Threemi. Med drugim že takrat na neuporabo mehanizma tim. poudarjene zaupnosti (angl. forward secrecy), kar bi moralo tudi med slabše poučenimi varnostnimi strokovnjaki hitro prižgati alarm. A to očitno vladnih in korporativnih uporabnikov ni odvrnilo od tega, da aplikacije ne bi uporabljali in je ne bi sprejeli kot varnostno ustrezne. Vprašanje, ki si ga lahko zastavimo je samo, kako je aplikacija uspela prestati varnostna preverjanja za to pooblaščenih državnih institucij?

Ta in podobni dogodki kažejo, da izbira ustrezne varnostne aplikacije nikakor ni enostavna naloga. Prodajalci znajo biti pri reklamiranju svojih storitev zelo prepričljivi in med poplavo propagandnih sporočil uporabniki težko presodijo katere varnostne rešitve so kvalitetne in katere ne. Razumevanje vseh potrebnih detajlov je za nestrokovnjake pogosto težko razumljivo, prodajalci pa imajo predvsem interes za uspešno sklenitev posla. Zato je pri izbiri varnostnih rešitev zelo pomembno, da se pri odločanju posvetujemo z ustreznimi strokovnjaki, pridobimo čim več informacij o tem kako tehnološke rešitve dejansko delujejo ter skrbno raziščemo ozadje podjetij, ki te rešitve proizvajajo. Le to je osnova za zagotovilo, da bodo naši podatki in komunikacije ustrezno zaščitene.

Kategorije: Kibernetska varnost
Ključne besede: Threema, šifriranje