Security Week 2303: проблемы шифрования данных в мессенджере Threema
В конце прошлого года исследователи из швейцарского университета ETH Zurich опубликовали работу, в которой описали семь уязвимостей в мессенджере Threema. Этот мессенджер при передаче сообщений использует сквозное шифрование, то есть содержание переписки в идеальных условиях должно быть доступно только отправителю и получателю. Threema позиционируется как одно из наиболее защищенных средств коммуникации в Сети. Естественно, что информация об уязвимостях в таком инструменте привлекла внимание. На прошлой неделе разработчики мессенджера опубликовали отзыв на исследование, в котором раскритиковали не обнаруженные проблемы, а, скорее, их интерпретацию.
В любом случае все обнаруженные уязвимости в протоколе шифрования закрыты. Более того, публикация исследования совпала с релизом нового протокола коммуникации в Threema — Ibex. Он предположительно решает фундаментальный недостаток старого протокола: в нем не была реализована концепция прямой секретности (forward secrecy), при которой взлом ключей для определенной сессии не позволяет расшифровать более раннюю или более позднюю переписку. Критика работы со стороны Threema отчасти обоснована, и оценить ее лучше всего на примере двух самых серьезных проблем, выявленных исследователями из ETH Zurich.
Читать дальше →
В любом случае все обнаруженные уязвимости в протоколе шифрования закрыты. Более того, публикация исследования совпала с релизом нового протокола коммуникации в Threema — Ibex. Он предположительно решает фундаментальный недостаток старого протокола: в нем не была реализована концепция прямой секретности (forward secrecy), при которой взлом ключей для определенной сессии не позволяет расшифровать более раннюю или более позднюю переписку. Критика работы со стороны Threema отчасти обоснована, и оценить ее лучше всего на примере двух самых серьезных проблем, выявленных исследователями из ETH Zurich.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Почему безопасность на этапе релиза обходится в десять раз дороже и как это исправить
- Как пчёлы, муравьи и рыбы привели нас к мультиагентному ИИ — и почему его так трудно защитить
- ИБ глазами архитектора: между «карточным домиком» и «бетонным саркофагом»
- ИИ-браузер: сотрудник, который ходит по сайтам, кликает баннеры и верит скидкам 90%
- Как одна кривая регулярка может «положить» ваш сервер: разбираем уязвимость ReDoS
- Я открыл боевую базу своего clipboard-sync, чтобы показать, что он знает о вашем пароле. Ответ: ничего
- Интернет выключили целиком: офлайн-чат на Bluetooth и Wi-Fi Direct, и почему мы не обещаем mesh на весь город
- Muxalma — обмен пакетами данных через общее хранилище
- Western Digital создала жесткий диск с защитой от квантовых атак: разбираем, как он работает
- Как платформа управления AI-агентами будет справляться с нагрузкой: архитектура без магии