BRONSON
DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice
kiprijanov
probiv
atmservice

СМИ Интересно Эксперты опровергли безопасность протокола мессенджера Threema

PAINNOMORE

Ветеран

PAINNOMORE

Ветеран
Статус
Offline
Регистрация
3 Ноя 2022
Сообщения
571
Реакции
4
Покупки через Гарант
0
Продажи через Гарант
0
Анализ криптографических протоколов анонимного мессенджера Threema выявил несколько уязвимостей, которые позволяют обойти защиту аутентификации и восстановить закрытые ключи пользователей.

Threema — это приложение для обмена зашифрованными сообщениями с более 11 млн. пользователей. По словам экспертов ETH Zurich, недостатки в криптографическом протоколе позволяют злоумышленнику:

  • выдать себя за легитимного пользователя;
  • изменить порядок сообщений в диалоге;
  • клонировать учетную запись жертвы;
  • использовать механизм восстановления резервной копии, чтобы получить закрытый ключ пользователя;
  • незаметно получать доступ к будущим сообщениям пользователей без их ведома;
  • получить доступ к серверам Threema для воспроизведения старых сообщений (это происходит, когда пользователь переустанавливает приложение или меняет устройство);
Кроме того, киберпреступник может провести атаку, при которой сервер злоумышленника обманом заставляет клиента «зашифровать сообщение по выбору сервера, которое может быть доставлено другому пользователю».

По словам Theema, результаты анализа интересны с теоретической точки зрения, но они не оказали существенного влияния на реальный мир. Результаты предполагают обширные и нереалистичные предпосылки, которые могут иметь гораздо более серьезные последствия, чем сами выводы экспертов.

Исследователи сообщили о проблеме Threema, и компания в течение нескольких недель выпустила новый протокол связи под названием Ibex, который устраняет недостаток.
 
Сверху