瑞士军队安全通信软件曝出大量严重漏洞

该大学的应用密码学小组本周发布了研究论文（链接在文末），详细介绍了Threema自主开发的密码协议中的七个严重漏洞。利用这些漏洞，不法分子将能克隆帐户并读取用户消息，窃取私钥和联系人，甚至出于勒索目的炮制有害资料。


Threema总部位于瑞士，数据中心位于阿尔卑斯山地区，自称是比WhatsApp（编者：已经被瑞士军队禁用）更安全的非美国加密通信产品的替代品。Threema没有Signal或Telegram流行，但是对于瑞士军队这样的客户来说，小众的Threema似乎更安全，因为流行消息应用往往无法避免海外政府的窥探。


Threema目前拥有超过1000万用户和7000名本地客户——包括德国总理奥拉夫舒尔茨。


Threema在博客文章中淡化了研究者发现的漏洞，声称这些漏洞是在Threema停用的协议中发现的。“虽然这些漏洞从理论上讲可能很有趣，但它们没有对现实世界产生任何重大影响”。


以下是Threema的声明：


去年，苏黎世联邦理工学院计算机科学系的一名学生撰写了关于Threema通信协议的硕士论文。该大学现已将他的作品作为论文/预印本发表。但是，该论文基于不再使用的旧协议。调查结果不适用于Threema当前的通信协议“Ibex”，或者已经得到解决。他们都没有对现实世界产生过任何重大影响。


披露Threema漏洞的三位研究人员——计算机科学教授Kenneth Paterson和博士生Matteo Scarlata与Kien Tuong Truong在一个关于Threema安全漏洞的网站上指出，他们最初是在2022年10月向Threema披露了他们的发现，后者同意研究者在1月9日公开披露。


Threema于2022年11月下旬发布了其Ibex协议，研究人员表示尚未审核这一在漏洞发现后发布的新协议。不过研究人员表示“相信所有漏洞都已通过Threema最近的补丁得到缓解”。


在给The Register的电子邮件中，Paterson指出，Threema声明中的所谓“旧协议”，其实就是ibex协议发布之前使用的协议。


他补充说，Threema的声明“极具误导性，这令人非常失望。”


虽然安全研究人员承认这些漏洞不再对Threema客户构成威胁，但他们的发现仍然凸显了评估“自主开发加密协议安全声明”的困难性。


“理想情况下，任何使用新型加密协议的应用程序都应该进行正式的安全分析（以安全证明的形式），以提供强大的安全保证，”研究者补充道：“这样的分析有助于降低类似Threema这样的软件中暗藏更严重漏洞的风险。”