Una aplicación de chat encriptada de extremo a extremo que casi no recopila datos y no requiere información personal para registrarse? Suena como un sueño hecho realidad para los entusiastas de la privacidad. El único problema es que tresmala compañía de privacidad suiza detrás del mensajero en cuestión, ha estado utilizando un protocolo criptográfico poco confiable, cuyos errores habrían permitido que un hacker inteligente acceda a los metadatos relacionados con conversaciones supuestamente seguras y secretas de los usuarios. Uf de verdad.
Los desafortunados problemas de seguridad de Threema fueron descubiertos a fines del año pasado por un estudiante de informática de Zúrich y sus dos supervisores académicos. Después de lograr derrotar con éxito las defensas de la aplicación, el trío reveló sus hallazgos, lo que permitió a la empresa actualizar silenciosamente sus protocolos y reparar las brechas de seguridad que habrían permitido los hipotéticos ataques. Esta semana, los investigadores publicaron esos hallazgosrevelando cómo el protocolo criptográfico anterior de la aplicación definitivamente dejaba mucho que desear.
“En nuestro trabajo, presentamos siete ataques contra los protocolos criptográficos utilizados por Threema, en tres modelos de amenazas distintos”, escriben los investigadores. “Todos los ataques van acompañados de implementaciones de prueba de concepto que demuestran su viabilidad en la práctica”.
Esos ataques teóricos, sobre los que puede leer más extensamente en el libro de los investigadores. papel, muestran una serie de métodos diferentes para pasar por debajo del muro de encriptación supuestamente robusto de Threema. Se podría decir que es una muy mala noticia para una empresa que se anuncia a sí misma como la aplicación de «máxima seguridad» y que, hasta hace poco, afirmaba que su mensajero era más seguro que cualquier otro, incluido el popular E2EE básico Señal.
También son potencialmente malas noticias para los clientes de Threema. Como señalan los investigadores, la aplicación de gran prestigio tiene más de 10 millones de usuarios habituales, incluidos miles de clientes corporativos y una serie de «usuarios destacados», como el «Gobierno suizo y el ejército suizo, así como el actual canciller de Alemania, Olaf Scholz.
G/O Media puede recibir una comisión
Hasta $100 de crédito
Reserva Samsung
Reserve el dispositivo Samsung de próxima generación
Todo lo que necesita hacer es registrarse con su correo electrónico y boom: crédito para su pedido anticipado en un nuevo dispositivo Samsung.
Dicho esto, Threema ha cuestionado parcialmente la viabilidad de los ataques. En respuesta a los hallazgos, la compañía publicó un declaración esta semana explicando que no necesariamente veía las vulnerabilidades descubiertas recientemente como aplicables de manera realista. «Ninguno de ellos [the security flaws] tenido un impacto considerable en el mundo real”, afirmó la compañía.
Cuando Gizmodo se puso en contacto con ella para hacer comentarios, la portavoz de Threema, Julia Weiss, aclaró que la plataforma de chat ahora estaba aumentando su seguridad, incluidas nuevas auditorías externas y un programa de recompensas por errores que ofrece una recompensa de hasta 10,000 francos suizos a los «hackers amigos». Weiss también dijo que el nuevo protocolo de Threema, «Ibex», que reemplazó al anterior, era «de última generación» y había sido «desarrollado en cooperación con un criptógrafo externo».
“Es una realidad en la industria del software que los errores nunca se pueden descartar por completo y se escapan incluso del control de calidad más estricto. [quality assurances] procesos”, dijo Weiss en un correo electrónico. “Esto afecta a todas las aplicaciones y sistemas operativos. Es por eso que no solo actuamos de manera proactiva, sino que también nos enorgullecemos de nuestra capacidad para responder rápidamente a este tipo de situaciones”.
No hay evidencia de que alguien haya usado alguna vez estos métodos de ataque para descifrar datos o infiltrarse en conversaciones en Threema. Dicho esto, sigue siendo un buen recordatorio de que el hecho de que una plataforma ofrezca cifrado de extremo a extremo no significa que sus comunicaciones sean necesariamente seguras. Aunque los mensajeros pueden ofrecer encriptación, casi siempre hay una forma de evitar tales protecciones. Otro reciente incidenteque involucró al popular protocolo de comunicación E2EE Matrix, mostró que la plataforma tenía errores de software graves que habrían permitido que las conversaciones se vieran comprometidas.
Signal, hasta donde sabemos, ha nunca tuve un problema de este tipo, pero eso no significa que no pueda suceder. Al igual que con cualquier cosa relacionada con Internet, es posible que no se produzca un ataque, pero siempre es posible.