Confide: "Military Grade Encryption" scheitert kläglich

Ein Messenger namens Confide scheint vor allem bei Mitarbeitern des Weißen Hauses beliebt zu sein. Dabei ist das Protokoll alles andere als sicher und der Confide-Server verriet zeitweise die Daten aller Nutzer.

Artikel veröffentlicht am , Hanno Böck
Sich selbst zerstörende Nachrichten und schlechte Verschlüsselung: der Messenger Confide.
Sich selbst zerstörende Nachrichten und schlechte Verschlüsselung: der Messenger Confide. (Bild: Confide)

Die Entwickler des Messengers Confide haben in letzter Zeit etwas Aufmerksamkeit bekommen: Laut zahlreichen Medienberichten nutzen Mitarbeiter des Weißen Hauses den Messenger, um privat zu kommunizieren. Das führte so weit, dass der Pressesprecher des Weißen Hauses, Sean Spicer, die Telefone seiner Mitarbeiter inspizieren ließ, da man vermutete, dass die App genutzt wurde, um Informationen über die Trump-Regierung an die Presse weiterzugeben.

"Military Grade" ist fast immer ein Zeichen für schlechte Verschlüsselung

Stellenmarkt
  1. Kaufmännische/n MitarbeiterIn Chemie Branche mit Labor-Kenntnissen (m/w/d)
    Adecco Personaldienstleistungen GmbH, Freiburg
  2. Anwendungsbetreuer ITWO SITE (m/w/d)
    Wesemann GmbH, Syke
Detailsuche

Doch wie sicher ist Confide und welche Verschlüsselungsverfahren kommen zum Einsatz? Die Webseite hat dazu wenig zu sagen. Dort heißt es lediglich, die Verschlüsselung sei "Military Grade" und "Battle tested". "Military grade" mag beeindruckend klingen, es gilt aber bei Fachleuten schon lange als Warnsignal für besonders schlechte Verschlüsselungsprodukte. Zur eigentlichen Funktionsweise der Verschlüsselung erfährt man nichts.

Jetzt haben sich zwei Sicherheitsfirmen Confide genauer angesehen. Die Firma Quarkslab weißt auf eine schwerwiegende Schwäche bei der Schlüsselverwaltung hin. Demnach gibt es bei Confide die Möglichkeit, mehrere Schlüssel zu verwenden. Zum Beispiel dann, wenn die App auf mehreren Geräten installiert wird. Ein Kommunikationspartner erhält vom Confide-Server eine Liste an Schlüsseln und verschlüsselt für alle Nutzer. Für den Nutzer gibt es keine Möglichkeit, zu erkennen, wie viele Schlüssel hier verwendet werden. Somit könnte der Confide-Server jederzeit weitere Schlüssel hinzufügen - oder auch den Schlüssel austauschen und einen klassischen Man-in-the-Middle-Angriff durchführen.

Der einzige wirkliche Schutz, den Confide bietet, ist die TLS-Verschlüsselung zwischen dem Server und dem Client und das Vertrauen in den Server. Eine Ende-zu-Ende-Verschlüsselung kommt zwar theoretisch zum Einsatz, der Confide-Server kann diese jedoch jederzeit umgehen.

Server verrät Mailadressen und Telefonnummern

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Ein Bericht der Sicherheitsfirma IOActive weist auf einige schwerwiegende Datenschutzprobleme hin. Das wohl gravierendste Problem: Ein Angreifer konnte vom Confide-Server uneingeschränkt Daten von allen Nutzer-Accounts abfragen, darunter die Mailadresse und die Telefonnummer. Dieses Problem wurde nach einem Bericht von IOActive behoben.

Beide Firmen weisen darauf hin, dass die Nachrichten von Confide mit keinerlei Authentifizierung geschützt sind. Sie benutzen eine AES-Verschlüsselung im CBC-Modus. Somit kann der Confide-Server die Inhalte der Nachrichten manipulieren. Die Nutzung von unauthentifizierten Verschlüsselungsmodi führt immer wieder zu Problemen und es ist kaum nachvollziehbar, warum diese immer noch zum Einsatz kommen.

Confide verspricht neben seiner Verschlüsselung auch sich selbst zerstörende Nachrichten und einen Schutz gegen Screenshots. Derartige Versprechen sind generell fragwürdig, da sie sich praktisch immer umgehen lassen - im Zweifel, indem man ein Foto des Bildschirms macht. Quarkslab teilte mit, in einem künftigen Artikel genauer auf die Probleme dieser Funktionen eingehen zu wollen.

Zusammenfassend lässt sich zu Confide wohl sagen: Finger weg. Es handelt sich um die typischen Probleme von handgestrickten Verschlüsselungsprotokollen, kryptographisches Fachwissen hatten die Entwickler scheinbar nicht. Wer einen sicheren, verschlüsselten Messenger sucht, ist weiterhin bei Signal am besten aufgehoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Wettbewerb: EU soll Untersuchung von Googles Werbegeschäft planen
    Wettbewerb
    EU soll Untersuchung von Googles Werbegeschäft planen

    Die EU-Kommission lässt Google keine Pause: Als Nächstes soll das Werbegeschäft genau auf Wettbewerbseinschränkungen untersucht werden.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

masel99 09. Mär 2017

"military grade" muss vorallem eins sein: robust. Schau dir zum Beispiel mal thermische...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /