Abo
  • Services:

Nur Reverse Engineering könnte Aufschluss geben

Die einzige Möglichkeit für Nutzer, tatsächlich zu prüfen, dass Threema keine derartigen Hintertüren enthält, wäre mittels Reverse Engineering. Man könnte mit entsprechend großem Aufwand die Funktionsweise von Threema etwa mit Hilfe eines Decompilers prüfen. Doch das wäre vermutlich illegal.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Lidl Digital, Heilbronn

"Der Quellcode dieses Produkts ist vertraulich und ein geschütztes Geschäftsgeheimnis von Kasper Systems GmbH", heißt es dazu in der Nutzungslizenz von Threema. "Sie dürfen nicht versuchen, dieses Produkt zu reverse engineeren, dekompilieren, disassemblen oder auf andere Weise zu entschlüsseln."

Laut einem Bericht von Zeit Online ist der Threema-Code bislang nicht von unabhängiger Seite geprüft worden. Threema-Entwickler Manuel Kasper sagte Zeit Online, dass momentan auch kein unabhängiger Audit geplant sei.

Fazit: Validation sagt wenig aus

Mit der Validation verbindet Threema ein großes Versprechen, das nicht gehalten werden kann. Eine Überprüfung der Korrektheit der Ende-zu-Ende-Verschlüsselung ist damit nicht möglich. Der Nutzer erfährt lediglich, dass sich die geloggten Nachrichten korrekt mit NaCl entschlüsseln lassen - für den Fall, dass es sich bei ihnen tatsächlich um die übertragenen handelt. Mehr nicht.

In Anbetracht dessen wirkt es äußerst fragwürdig, dass Threema unabhängigen Sicherheitsforschern explizit verbietet, die Funktionsweise des Programms mit Methoden des Reverse Engineerings zu untersuchen. Letztendlich bleibt es dabei: Wer auf die Kryptographie von Threema vertraut, muss auch darauf vertrauen, dass die Autoren von Threema keine gravierenden Fehler gemacht haben und keine absichtlichen Hintertüren in das Programm einbauen.

Wir hätten gerne Threema zur Validation und zur Sicherheit der Verschlüsselung einige Fragen gestellt. Leider wurden unsere diesbezüglichen Anfragen nicht beantwortet. Eine Kontaktadresse für Presseanfragen gibt es nicht, beim Support wurde die Anfrage unseres Autors mehrere Tage nicht beantwortet. Eine E-Mail an eine Kontaktadresse, die wir aufgrund einer früheren Anfrage erhalten hatten, wurde ebenfalls ignoriert.

 Verschlüsselung: Validation von Threema ist wenig aussagekräftig
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. SanDisk Ultra II SSD 480 GB für 95€ und SanDisk Ultra microSDXC 64 GB für 16€)
  2. (u. a. LG OLED55C8LLA für 1.699€ und Logitech Harmony 350 für 22€)
  3. 63,89€ inkl. Versand (Vergleichspreis 127,89€)

Simon B. 20. Apr 2016

Siehe: https://shop.threema.ch/eula

Jenny_Webber 28. Jul 2014

Das iOS Data Protection Feature nützt bei einem Messenger leider wenig bis nichts. Denn...

blubby666 28. Jul 2014

Die könnten doch dann immernoch wie jetzt bei Threema für den Offline Zeitraum auf dem...

ikhaya 23. Mär 2014

Ich denke das die Infos von Jan Ahrens zum Protokoll von Threema durchaus interessant...

onewaypub 11. Mär 2014

Hmm. Interessant. Das heißt Du vertraust Snowden mehr. Womit wir beim Thema Vertrauen...


Folgen Sie uns
       


E3 2018, wenig Hardware, mehr Spiele - Livestream

Neue Hardware (PC, Konsolen, Handhelds) sind auf der diesjährigen E3 in Los Angeles wohl nicht zu erwarten, oder doch? Diese und andere spannende Fragen zur Messe diskutieren die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek im Livestream.

E3 2018, wenig Hardware, mehr Spiele - Livestream Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

Sony: Ein Kuss und viele Tode
Sony
Ein Kuss und viele Tode

E3 2018 Mit einem zärtlichen Moment in The Last of Us 2 hat Sony sein Media Briefing eröffnet - danach gab es teils blutrünstiges Gameplay plus Rätselraten um Death Stranding von Hideo Kojima.
Ein Bericht von Peter Steinlechner

  1. Ghost of Tsushima Dynamischer Match im offenen Japan
  2. Nintendo Kein wirklich neues Smash und Fire Emblem statt Metroid
  3. Ubisoft Action in Griechenland und Washington DC

Live-Linux: Knoppix 8.3 mit Docker
Live-Linux
Knoppix 8.3 mit Docker

Cebit 2018 Die Live-Distribution Knoppix Linux-Magazin Edition bringt nicht nur die üblichen Aktualisierungen und einen gegen Meltdown und Spectre geschützten Kernel. Mir ist das kleine Kunststück gelungen, Knoppix als Docker-Container zu starten.
Ein Bericht von Klaus Knopper


      •  /