Abo
  • Services:
Anzeige
Sich selbst zerstörende Nachrichten und schlechte Verschlüsselung: der Messenger Confide.
Sich selbst zerstörende Nachrichten und schlechte Verschlüsselung: der Messenger Confide. (Bild: Confide)

Confide: "Military Grade Encryption" scheitert kläglich

Sich selbst zerstörende Nachrichten und schlechte Verschlüsselung: der Messenger Confide.
Sich selbst zerstörende Nachrichten und schlechte Verschlüsselung: der Messenger Confide. (Bild: Confide)

Ein Messenger namens Confide scheint vor allem bei Mitarbeitern des Weißen Hauses beliebt zu sein. Dabei ist das Protokoll alles andere als sicher und der Confide-Server verriet zeitweise die Daten aller Nutzer.

Die Entwickler des Messengers Confide haben in letzter Zeit etwas Aufmerksamkeit bekommen: Laut zahlreichen Medienberichten nutzen Mitarbeiter des Weißen Hauses den Messenger, um privat zu kommunizieren. Das führte so weit, dass der Pressesprecher des Weißen Hauses, Sean Spicer, die Telefone seiner Mitarbeiter inspizieren ließ, da man vermutete, dass die App genutzt wurde, um Informationen über die Trump-Regierung an die Presse weiterzugeben.

Anzeige

"Military Grade" ist fast immer ein Zeichen für schlechte Verschlüsselung

Doch wie sicher ist Confide und welche Verschlüsselungsverfahren kommen zum Einsatz? Die Webseite hat dazu wenig zu sagen. Dort heißt es lediglich, die Verschlüsselung sei "Military Grade" und "Battle tested". "Military grade" mag beeindruckend klingen, es gilt aber bei Fachleuten schon lange als Warnsignal für besonders schlechte Verschlüsselungsprodukte. Zur eigentlichen Funktionsweise der Verschlüsselung erfährt man nichts.

Jetzt haben sich zwei Sicherheitsfirmen Confide genauer angesehen. Die Firma Quarkslab weißt auf eine schwerwiegende Schwäche bei der Schlüsselverwaltung hin. Demnach gibt es bei Confide die Möglichkeit, mehrere Schlüssel zu verwenden. Zum Beispiel dann, wenn die App auf mehreren Geräten installiert wird. Ein Kommunikationspartner erhält vom Confide-Server eine Liste an Schlüsseln und verschlüsselt für alle Nutzer. Für den Nutzer gibt es keine Möglichkeit, zu erkennen, wie viele Schlüssel hier verwendet werden. Somit könnte der Confide-Server jederzeit weitere Schlüssel hinzufügen - oder auch den Schlüssel austauschen und einen klassischen Man-in-the-Middle-Angriff durchführen.

Der einzige wirkliche Schutz, den Confide bietet, ist die TLS-Verschlüsselung zwischen dem Server und dem Client und das Vertrauen in den Server. Eine Ende-zu-Ende-Verschlüsselung kommt zwar theoretisch zum Einsatz, der Confide-Server kann diese jedoch jederzeit umgehen.

Server verrät Mailadressen und Telefonnummern

Ein Bericht der Sicherheitsfirma IOActive weist auf einige schwerwiegende Datenschutzprobleme hin. Das wohl gravierendste Problem: Ein Angreifer konnte vom Confide-Server uneingeschränkt Daten von allen Nutzer-Accounts abfragen, darunter die Mailadresse und die Telefonnummer. Dieses Problem wurde nach einem Bericht von IOActive behoben.

Beide Firmen weisen darauf hin, dass die Nachrichten von Confide mit keinerlei Authentifizierung geschützt sind. Sie benutzen eine AES-Verschlüsselung im CBC-Modus. Somit kann der Confide-Server die Inhalte der Nachrichten manipulieren. Die Nutzung von unauthentifizierten Verschlüsselungsmodi führt immer wieder zu Problemen und es ist kaum nachvollziehbar, warum diese immer noch zum Einsatz kommen.

Confide verspricht neben seiner Verschlüsselung auch sich selbst zerstörende Nachrichten und einen Schutz gegen Screenshots. Derartige Versprechen sind generell fragwürdig, da sie sich praktisch immer umgehen lassen - im Zweifel, indem man ein Foto des Bildschirms macht. Quarkslab teilte mit, in einem künftigen Artikel genauer auf die Probleme dieser Funktionen eingehen zu wollen.

Zusammenfassend lässt sich zu Confide wohl sagen: Finger weg. Es handelt sich um die typischen Probleme von handgestrickten Verschlüsselungsprotokollen, kryptographisches Fachwissen hatten die Entwickler scheinbar nicht. Wer einen sicheren, verschlüsselten Messenger sucht, ist weiterhin bei Signal am besten aufgehoben.


eye home zur Startseite
masel99 09. Mär 2017

"military grade" muss vorallem eins sein: robust. Schau dir zum Beispiel mal thermische...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Berlin
  2. Dataport, Hamburg, Altenholz bei Kiel
  3. Daimler AG, Stuttgart
  4. symmedia GmbH, Bielefeld


Anzeige
Hardware-Angebote
  1. 18,99€ statt 39,99€
  2. ab 14,99€

Folgen Sie uns
       


  1. Amazon Channels

    Prime-Kunden erhalten Fußball-Bundesliga für 5 Euro im Monat

  2. Dex-Bytecode

    Google zeigt Vorschau auf neuen Android-Compiler

  3. Prozessor

    Intels Ice Lake wird in 10+ nm gefertigt

  4. Callya Flex

    Vodafone eifert dem Congstar-Prepaid-Tarif nach

  5. Datenbank

    MongoDB bereitet offenbar Börsengang vor

  6. Spielemesse

    Entwickler von Playerunknown's Battlegrounds hält Keynote

  7. Matias Ergo Pro Keyboard im Test

    Die Exzentrische unter den Tastaturen

  8. Deeplearn.js

    Google bringt Deep Learning in den Browser

  9. Satellitennavigation

    Sapcorda will auf Zentimeter genau orten

  10. Nach Beschwerden

    Google löscht Links zu Insolvenzdatenbanken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LG 34UC89G im Test: Wenn G-Sync und 166 Hertz nicht genug sind
LG 34UC89G im Test
Wenn G-Sync und 166 Hertz nicht genug sind
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Monitor Viewsonic XG 2530 im Test 240 Hertz, an die man sich gewöhnen kann
  3. SW271 Benq bringt HDR-Display mit 10-Bit-Panel

Windows 10 S im Test: Das S steht für schlechtes Marketing
Windows 10 S im Test
Das S steht für schlechtes Marketing
  1. Microsoft Neugierige Nutzer können Windows 10 S ausprobieren
  2. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store
  3. Malware Der unvollständige Ransomware-Schutz von Windows 10 S

C64-Umbau mit dem Raspberry Pi: Die Wiedergeburt der Heimcomputer-Legende
C64-Umbau mit dem Raspberry Pi
Die Wiedergeburt der Heimcomputer-Legende

  1. Re: Horizontal versetzte Tasten

    DummyAccount | 14:57

  2. Re: NVidia und mehrere Generationen 2 GHz?

    PoorVega | 14:57

  3. Re: 13 Monate zahlen, 12 nutzen und offline wenn...

    My1 | 14:56

  4. Re: nur Vectoring...

    Mett | 14:56

  5. Re: Wo gibt's LTE im D-Netz, monatlich kündbar?

    My1 | 14:55


  1. 15:02

  2. 14:49

  3. 13:50

  4. 13:27

  5. 13:11

  6. 12:20

  7. 12:01

  8. 11:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel