Firmenlink

 

Hat Threema wirklich keine Hintertürchen?

Die Schweizer Kurznachrichten-App Threema wirbt mit sicherer Verschlüsselung, aber wie sicher ist diese wirklich? Aufschluss darüber gibt höchstens der nicht offene Quellcode, kritisieren deutsche Medien.

von Simon Gröflin 10.03.2014
Hat Threema selber noch ein Hintertürchen? Eine unabhängige Prüfstelle könnte Aufschluss darüber geben Hat Threema selber noch ein Hintertürchen? Eine unabhängige Prüfstelle könnte Aufschluss darüber geben Zoom Die Schweizer App Threema profitiert, ähnlich wie andere Kurznachrichten-Apps, stark von abwandernden WhatsApp-Nutzern. Threema wirbt mit der sogenannten Ende-zu-Ende-Verschlüsselung. Bei Threema funktioniert das mit einem speziellen Schlüsselpaar. Vor allem im deutschen Sprachraum ist Threema beliebt. Die Stiftung Warentest verleiht der Schweizer App als einziger WhatsApp-Alternative die Bewertung «unkritisch», räumte aber ein:

«Threema ist keine quell­offene Software. Eine komplette Analyse des Daten­sende­verhaltens ist daher nicht möglich. Die Prüfer können ausschliessen, dass die App Nutzerdaten unver­schlüsselt über­trägt. Ob sie manche Daten aber eventuell verschlüsselt kommuniziert, konnten sie nicht zweifels­frei fest­stellen.»

Grundsätzlich hoher Sicherheitsstandard

Threema nutzt zur Verschlüsselung die NaCl-Bibliothek, bei der bis zu 255 Bit lange asymmetrische Schlüssel verwendet werden. Diese werden mittels elliptischen Kurven errechnet. Allgemein gilt die NaCl-Bibliothek unter Kryptographie-Experten als sicher, da der Quellcode von NaCl von jedem geprüft und genutzt werden darf. Nicht so beim Quellcode der Threema-App, der für niemanden einsehbar ist. 

Threema ermöglicht es lediglich, verschlüsselte Nachrichten in Log-Dateien auf dem Smartphone zu speichern. Diese Log-Dateien können dann mit zwei kleinen Programmen überprüft werden, die selber ebenfalls die NaCl-Bibliothek verwenden. Dazu müsste man, wie Golem.de erklärt, den Quellcode der beiden kleinen Programme von der Threema-Webseite herunterladen und diesen zunächst kompilieren, zumal das Validations-Feature der App-Entwickler zurzeit noch in Planung ist.

Eine Frage der Implementierung

Golem hat sich an eine solche Validierung der Log-Dateien gewagt. Offenbar liessen sich der Quellcode problemlos unter Linux zu ausführbaren Programmen kompilieren. Doch was verriet die Validation schlussendlich? Anscheinend ist es bis jetzt nicht möglich zu beurteilen, ob die Nachricht, die von Threema geloggt wird, wirklich der Nachricht entspricht, die versendet wurde. Ein Versuch, den Datenstrom zum Threema-Server mit gefälschten https-Zertifikaten mitzulesen, scheiterte erwartungsgemäss.

Keine Garantie auf App-eigene Hintertür

Erstaunliches brachte aber die Analyse des übermittelten Inhalts der Log-Datei zutage: Darin fand sich ein zufällig generierter Sitzungsschlüssel, ein sogenannter Nonce, und die eigentliche verschlüsselte Nachricht. Auf den Zufallswert dieses Nonce muss der Anwender vertrauen, zu böswilligen Hintertüren würde sich der Nonce jedoch geradezu anbieten. In ihm liessen sich etwa Informationen einbauen, die selber mit einem weiteren Schlüssel vom Programm verschlüsselt sind.

Nutzungsbedingungen verbieten Reverse Engineering

Golem und Zeit Online folgern, dass nur die Möglichkeit helfen würde, Threema zu dekompilieren. Threema-Entwickler Manuel Kasper sagte gegenüber Zeit Online, es sei im Moment keine unabhängige Prüfung von anderer Seite geplant. In den Nutzungsbedingungen von Threema heisst es jedenfalls klar, dass der Quellcode «vertraulich und ein geschütztes Geschäftsgeheimnis» von Kasper Systems GmbH sei. Dekompilieren beziehungsweise Reverse Engineering ist anscheinend illegal.

Da Threema bis jetzt unabhängigen Sicherheitsforschern eine Prüfung explizit verbietet, bleibt zu hoffen, dass die Entwickler von Threema keine Fehler gemacht oder selber Hintertüren eingebaut haben.

Tags: Threema

    Kommentare

    • PC-John 10.03.2014, 19.28 Uhr

      Es kommt drauf an, WER den Finger auf den Entwicklern haben konnte. Sind es Leute aus den USA, dann ist garantiert ein Backdoor drin. Und ganz sicher dann, wenn z.B. Apple eine entsprechende Apps freigegeben hatte, unerlaubte Apps werden ja aus der Ferne gelöscht. Sind es wirklich unabhängige Entwickler hierzulande, welche um Gottes-Lohn arbeiten, und wirklich niemandem irgendwelche Rechenschaft ablegen müssen, dann könnte kein Backdoor drin sein. Aber auch nur dann, wenn diese wirklich al[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.