Güvenlik açığı ifşasına ‘küçümseyici’ yanıt, infosec topluluğunu kızdırdı
Güvenlik araştırmacıları, şifreli mesajlaşma uygulamasının geliştiricileri tarafından yaptıkları eleştirilerin ardından Threema’da birkaç ciddi güvenlik açığı keşfeden akademisyenleri savundu.
İsviçre Üniversitesi ETH Zurich’ten bilgisayar bilimcilerinden oluşan bir ekip, İsviçre Hükümeti ve şu anki Almanya Şansölyesi Olaf Scholz da dahil olmak üzere 10 milyon kullanıcısı olan güvenli mesajlaşma uygulaması Threema’da toplam yedi güvenlik açığı buldu.
Tehdit modelleri
Profesör Kenneth Paterson, Matteo Scarlata ve Kien Tuong Truong’dan oluşan ETH ekibi, Threema’nın ne ‘ileri güvenlik’ ne de taviz sonrası güvenlik sunmadığını tespit etti.
İleri güvenlik, bir güvenlik ihlalinden sonra bile bir saldırganın, saldırıdan önce şifrelenmiş verilerin şifresini çözemeyeceği anlamına gelir. Uzlaşma sonrası güvenlik, herhangi bir saldırganın iletişim alışverişi sürecinden çıkarılması koşuluyla, bir saldırıdan sonra güvenliğin geri yüklenebilmesi için böyle bir mimarinin kurulmasını içerir.
Keşfedilen yedi güvenlik açığı, üç farklı tehdit modelinde yer aldı: ağ saldırganı, güvenliği ihlal edilmiş sunucu ve zorunlu erişim.
Kendi kriptolarını yuvarlamak
Threema’nın ısmarlama şifreleme teknolojilerini kullanması nedeniyle sorunlar ortaya çıktı. Örneğin, İsviçre hizmetinin ısmarlama istemciden sunucuya (C2S) protokolü geçici anahtarlar içerir. Bu, teorik olarak, oturumları birbirinden bağımsız hale getirmelidir.
Bununla birlikte, ETH araştırmacıları, tek bir istemci geçici anahtarından ödün vermenin, bir saldırganın bu istemciyi süresiz olarak taklit etmesine izin verdiğini keşfetti.
KAÇIRMAYIN The Daily Swig’i nasıl geliştireceğimizi bize söyleyerek ödül kazanma şansı
Araştırmacılar bu açığı ve diğer altı güvenlik açığını geçen yıl Ekim ayı başlarında Threema’nın geliştiricilerine açıkladılar. Değişiklikler, Threema’nın Kasım 2022’nin sonlarında saldırıları daha da hafifletmek için yeni bir protokol olan Ibex’i yayınlamasından önce yapıldı.
Araştırmacılar, kararlaştırıldığı gibi bulgularını 9 Ocak Pazartesi gününe kadar yayınlamayı ertelediler.
‘Umutsuzca aşırı satış’
Threema daha sonra bulgularının yayınlanmasına yanıt veren araştırmacılara saygısızlık etmeye karar verdi ve bu süreçte daha geniş bilgi güvenliği topluluğunun öfkesini kazandı.
“Threema’nın eski iletişim protokolü hakkında yeni bir makale var,” satıcı resmi Twitter hesabında yazdı. “Görünüşe göre, günümüzün akademisi araştırmacıları ve hatta öğrencileri bulgularını umutsuzca abartmaya zorluyor. İşte gerçek bir konuşma.”
İlişkili bir açıklamada Threema, “makalede sunulan bulguların bazıları teorik açıdan ilginç olsa da, hiçbirinin gerçek dünyada kayda değer bir etkisi olmadığını” kabul etti.
“Küçümseyen”
İsviçreli güvenlik araştırmacısı Christian Folini, Threema’nın yanıtını “küçümseyici” olarak nitelendirdi.
“Güvenlik araştırmasının kalitesini değerlendirmek sizin işiniz değil. Göreviniz, hareketinizi bir araya getirmek, düzeltmeleri bize sunmak ve değerlendirmeyi üçüncü taraflara bırakmak.” Folini siteleri Twitter’da.
Surrey Üniversitesi’nde bir bilgisayar bilimcisi olan Profesör Alan Woodward, Threema’nın şifreli mesajlaşma uygulamasına yönelik yapıcı eleştiri olarak nitelendirdiği için araştırmacılara gereksiz yere saldırdığını kabul etti.
En son şifreleme güvenliği haberlerini takip edin
“Onların [Threema’s] Profesör Woodward, bunun daha eski bir sürüm olduğunu ve belirlenen tüm sorunları düzelttiklerini belirtirken oldukça küçümseyici bir tondaydı, ancak Threema, çalışma ve sorumlu ifşa nedeniyle bunu söyleyebildi” dedi. günlük yudum.
“Yardım edemem [but] Uygulama geliştiricileri bu tutumu benimserse, araştırmacıların sorumlu bir şekilde işbirliği yapmaya daha az eğilimli olabileceğini düşünüyorum.”
Belirlenen güvenlik sorunlarının özü hakkında, Profesör Woodward söylenmiş günlük yudum sorunların “ortaya çıktığı görülüyor çünkü onlar [Threema] kendi protokollerini oluşturdular ve ayrıca seçilen kitaplık Nacl’ın bazı sınırlamalarıyla çalışıyorlardı”.
günlük yudum ETH ekibini keşfettikleri kusurlar ve açıklama süreci hakkında yorum yapmaya davet etti. Henüz bir haber yok, ancak daha fazla bilgi elimize geldikçe bu hikayeyi güncelleyeceğiz.
Profesör Kenneth Paterson, Threema’nın tepkisinden duyduğu hayal kırıklığını açıkça dile getirdi.
“Sorumlu açıklama sırasında ThreemaApp ile yapıcı bir etkileşimin ardından, bu beklenmedik bir şekilde önemsiz. Protokollerini altı şekilde bozduk. Çalışmalarımız sayesinde güncellediler” Profesör Paterson Twitter’da söyledi.
İLİŞKİLİ Boffins, tek seferlik program şifreleme konseptini yeniden canlandırıyor