放大(图片来源:Getty Images)
学术研究人员发现了 Threema 核心的严重漏洞,Threema 是一款即时通讯软件,其总部位于瑞士的开发商称其提供了“其他聊天服务”无法提供的安全和隐私级别。尽管 Threema 收到了异常强烈的声明和两次独立的安全审计,但研究人员表示,这些缺陷完全破坏了机密性和身份验证的保证,而机密性和身份验证是作为提供端到端加密(通常缩写为 E2EE)而出售的任何程序的基石。
Threema 拥有超过 1000 万用户,其中包括瑞士政府、瑞士军队、德国总理奥拉夫·舒尔茨以及该国的其他政要。 Threema 开发人员将其宣传为比 Meta 的 WhatsApp 信使更安全的替代品。它在瑞士、德国、奥地利、加拿大和澳大利亚的收费类别中名列前茅 Android 应用程序之列。该应用程序使用定制设计的加密协议,违反了既定的加密规范。
七个致命缺陷
总部位于苏黎世的 ETH 研究型大学的研究人员周一报告说,他们在 Threema 中发现了七个漏洞,这些漏洞严重质疑该应用程序多年来提供的真实安全级别。其中两个漏洞不需要对 Threema 服务器或应用程序的特殊访问权限即可以加密方式模拟用户。三个漏洞需要攻击者获得对 Threema 服务器的访问权限。当攻击者获得解锁手机的访问权限时,例如在过境点,可以利用剩下的两个。