Der Instant-Messenger Threema verschickt Nachrichten Ende-zu-Ende verschlüsselt und schreibt sich Datenschutz und Privatsphäre auf die Fahne. Nun haben Sicherheitsforscher der FH Münster den Source-Code der Android- und iOS-App und die Backuplösung Threema Safe auf Sicherheitslücken untersucht.

Eigenen Angaben zufolge hat die Untersuchung keine kritischen Sicherheitslücken zutage gefördert. Die Sicherheitsforscher stießen aber auf zwei mit dem Bedrohungsgrad "mittel" eingestufte Schwachstellen. Auch einige mit der Einschätzung "niedrig" versehene Lücken kamen ans Licht. Diese haben die Entwickler in den Versionen 3.62 (Android) und 4.1 (iOS) geschlossen.

Nutzen Angreifer diese Schwachstellen aus, könnten sie mit etwas Aufwand – und wenn ein Opfer mitspielt – den privaten Schlüssel an einen anderen Threema-Nutzer senden. Außerdem wäre es vorstellbar, dass ein Angreifer Teile von Passwörtern aus einer Logdatei der Android-App von Threema Safe auslesen könnte.

Sicherheitsprüfung bestanden

Insgesamt attestieren die Sicherheitsforscher den Threema-Entwicklern, dass sie die Themen Sicherheit und Datenschutz sehr ernst nehmen: Alle Sicherheits- und Datenschutzmechanismen seien intakt und wirksam und der Messenger verhält sich so, wie in der öffentlichen Dokumentationen beschrieben. Natürlich ist eine Prüfung nicht allumfassend und später könnten durchaus weitere Sicherheitsrisiken auftauchen.

Weitere Infos zum Ablauf des Audits und den entdeckten Lücken findet man im ausführlichen Bericht der Sicherheitsforscher. (des)