Wirbel um Threema

Ein Team der ETH-Zürich hat Threema analysiert und an mehreren Stellen gröbere Fehler gefunden. Anstatt die Sache respektvoll aufzuarbeiten, hat Threema in den ersten 24h nach der Veröffentlichung des Papers so ziemlich alles falsch gemacht, was man falsch machen kann.

Security-Problem

Auf der Website breakingthe3ma.app präsentiert ein Team der ETH Zürich, das die App und die zugehörigen Protokolle fast 6 Monate lang analysiert hat, potentielle Sicherheitslücken des Messengers Threema. Die Einleitung liest sich gar nicht gut:

In our work, we present seven attacks against the cryptographic protocols used by Threema, in three distinct threat models. […] Threema features neither forward security nor post-compromise security. We show that several of the other desirable security properties also fail to hold.

breakingthe3ma.app

Klingt erstmal beunruhigend, stellt sich aber, will man dem beschwichtigenden Blogbeitrag bei Threema selbst vertrauen, als halb so wild heraus. Einerseits hat das Analyseteam der ETH Zürich seine Erkenntnisse an Threema weitergegeben, woraufhin Threema das Kommunikationsprotokoll aktualisiert hat, andererseits erklärt Threema in einem Blogbeitrag

Auch wenn manche der vorgestellten Findings aus theoretischer Sicht interessant sein mögen, hatte keines von ihnen jemals nennenswerte Auswirkungen in der Praxis. Die meisten gehen von umfassenden und realitätsfernen Vorbedingungen aus, die an sich schon weit folgenschwerere Konsequenzen hätten als das jeweilige Finding selbst.

Eine solche Vorbedingung ist z.B. der physische Zugriff auf ein entsperrtes Android-Gerät über einen Zeitraum von ca. zwölf Stunden (und ohne, dass in Threema eine Passphrase gesetzt ist). In einem solchen Szenario muss das gesamte Gerät – und somit trivialerweise auch Threema – als kompromittiert betrachtet werden. Denn jede App kann immer nur so sicher sein wie das Gerät bzw. Betriebssystem, auf dem sie läuft.

Neues Paper über altes Threema-Protokoll

Ist das wirklich so theoretisch, wie Threema uns das nun glauben machen will? Das Team der ETH Zürich nennt beispielsweise die Situation einer gewalttätigen Beziehung, in der ein so langer und dauerhafter Zugriff auf ein Device gar nicht mehr so einfach in den theoretischen Bereich abzuschieben ist. Doch immerhin, selbst auf der die Lücken und Probleme auflistenden, oben verlinkten Website findet man im Kapitel „Lessons Learned“ den beruhigenden Absatz:

We believe that all of the vulnerabilities we discovered have been mitigated by Threema’s recent patches. This means that, at this time, the security issues we found no longer pose any threat to Threema customers, including OnPrem instances that have been kept up-to-date. On the other hand, some of the vulnerabilities we discovered may have been present in Threema for a long time.

Und etwas weiter in dieser Conclusio findet sich dann noch ein allgemeiner, gar nicht auf Threema selbst bezogener Hinweis, in dem die Autoren an der Qualität und Ernsthaftigkeit vorangehender Audits rütteln und ganz grundsätzlich festhalten, wie vielschichtig und komplex das Thema Security ist:

Our work shows that it’s not easy to assess the security claims made by developers of applications that rely on bespoke cryptographic protocols. Notably, previous independent audits of Threema did not review the cryptographic core of the application. Such an analysis should be a minimum requirement for any secure messenger, especially one being used in sensitive environments.

Diesem Rütteln setzt die Neue Zürcher Zeitung in ihrem Beitrag zum Thema, der nun wirklich nicht freundlich mit „Verschlüsselung hinkt Jahre hinterher: Der Schweizer Messenger Threema setzte bis vor kurzem auf veraltete Kryptografie“ betitelt ist (der Teil vor dem Doppelpunkt ist ein Zitat), eins auf, in dem darin die Politik von Threema, vor allem in puncto Anwendung moderner Protokolle (wie zum Beispiel Forward Secrecy) spürbar kritisiert wird.

Threema […] verschlüsselte die Chat-Nachrichten mit immer demselben Schlüssel. […] Diese Schwäche von Threema war bekannt. Die Hersteller selbst stellten sie lange als vernachlässigbar dar und gewichteten Verfügbarkeit und Benutzerfreundlichkeit höher. […] Mit dem Kommunikationsprotokoll Ibex [das Protokoll wurde am 5. Dezember 2022 (!) auf der Threema-Website angekündigt] führt Threema […] das zeitgemässe Konzept von Perfect Forward Secrecy für Chat-Nachrichten ein. Es sei schon von langer Hand geplant gewesen, das neue Protokoll […] zu lancieren […] Allerdings wirkt die Einführung etwas überstürzt. Die verbesserte iPhone-App war erst ab Ende Dezember verfügbar. Zudem ist Perfect Forward Secrecy noch nicht standardmässig aktiviert.

NZZ

Ja, da steh‘ ich nun, ich armer Tor, und bin so klug als wie zuvor. Eine darauf spezialisierte Truppe einer thematisch darauf spezialisierten Hochschule findet gröbere Lücken in einem sich als sicher präsentierenden Messenger. Der Hersteller antwortet erwartbar beschwichtigend (wobei… das hatten wir ja bei Last Pass vor kurzem auch) und – aber vielleicht ist das nur meine Wahrnehmung (nein, auch die von fefe!) – spürbar beleidigt auf die akademischen Erkenntnisse. Die NZZ verdichtet die Ereignisse in einem Beitrag, fügt ihrem Bericht noch ein paar Entscheidungen des Herstellers der letzten Zeit hinzu und setzt das alles so in Bezug zueinander, dass sich bei mir die weiße Weste des sauberen und sicheren Messengers aus der Schweiz nach all den eigenen und von der NZZ aufbereiteten Informationen trübt.

Zwischenergebnis

Nun überlasse ich es euch, liebe Leser:innen, wie ihr diesen Beitrag ausgehen lassen wollt. Wenn ihr wollt, dass der Artikel gut endet, dann lest jetzt zuerst Absatz A gefolgt von Absatz B (und dann weiter), wenn ihr hingegen skeptisch seid, dann lest jetzt genau umgekehrt, zuerst Absatz B, dann A und dann weiter.

Absatz A. Aktuell dürfte also alles passen, aber über eine nicht vernachlässigbare Zeit hinweg war Threema tatsächlich mit einer Verschlüsselung ausgestattet, die, so die Experten, „Jahre hinterher hinkte“. Dass seit der Implementierung des neuen Kommunikationsprotokolls viele Probleme beseitigt sind, ist zwar gut, aber hey, wir sprechen von mehreren Jahren, in denen wir einem Hersteller, der mit dem Security-Argument in den Markt gegangen ist, vertraut haben, nur um im Nachhinein festzustellen, dass all die Claims – und ja, das ist mein Eindruck – offenbar hart an der Grenze zur heißen Luft waren. Ein Statement, wie das des leitenden ETH-Forschers – „Fehlt es bei Threema an einem tiefergehenden Verständnis von Kryptografie?“ (NZZ) – ist schon sehr starker Tobak für eine Messenger-App, die sich als sicher vermarktet.

Absatz B. Der kritische Bericht auf der breakingthe3ma.app-Website zählt viele Versäumnisse auf, gibt aber letzten Endes doch Hoffnung: Die Kooperation mit Threema scheint gut gewesen zu sein, die Fehler und potentiellen Sicherheitslücken wurden von Threema evaluiert und wo für nötig befunden, behoben. Das ist gut, denn es zeigt, dass das Unternehmen Audits respektvoll gegenübertritt und seinen Teil beiträgt, um die Sicherheit für uns alle, die wir Threema nutzen, zu erhalten oder sogar noch zu steigern. – Immerhin heißt es in der Conclusio sinngemäß, dass die in der Analyse erwähnten Schwachstellen bei aktuellen Versionen der Software keine Gefahr für die User:innen mehr darstellen. Das ist eine Anerkennung derer, die die Fehler gefunden haben. Das ist ein gutes Zeichen!

Marketing-Desaster

Was aber, völlig unabhängig von den Erkenntnissen der ETH-Zürich und den Reaktionen darauf, wirklich völlig schief gelaufen ist, ist, wie Threema darauf reagiert hat. Wenn es Kritik an einem Protokoll oder an einer Implementierung gibt und sie, wenn auch nur theoretisch, valide sein kann, dann ist die eigene Marke nicht beschädigende Behutsamkeit in der Kommunikation angebracht. Und ganz ehrlich, Threema, welche halbwegs im Jahr 2023 präsente Firma hat nicht eine Kommunikationsvorlage für genau solche Fälle?! Also, was wäre zu tun:

  1. Nehmt die Challenges an und evaluiert sie auf Augenhöhe. Respektiert diejenigen, die Kritik üben.
  2. Bedankt euch bei denjenigen, die euch verbessern!
  3. Listet auf, was ihr an Problempunkten anerkennt oder argumentiert sehr gut und auch für Laien nachvollziehbar, warum ihr andere Problempunkte nicht anerkennt.
  4. Listet auf, sofern das möglich/zutreffend ist, welche Auswirkungen die anerkannten Problempunkte haben, hatten oder haben könnten.
  5. Zeigt und erläutert auch für Laien verständlich, welche Aktionen ihr durchführt, um die Probleme unmittelbar zu beheben.
  6. Zeigt und erläutert auch für Laien verständlich, welche Maßnahmen ihr setzt, um sie in Zukunft zu verhindern.
  7. Erklärt, auch wenn ihr das schon tausend Male gemacht habt, noch einmal, wie ihr mit der Möglichkeit von auftretenden Problemen umgeht und beweist dadurch abermals, dass ihr Herausforderungen auf Augenhöhe an- und vor allem ernst nehmt.

In anderen Worten: Führt das, was man in der Softwareindustrie eine Post-Mortem-Analyse nennt, durch. Und ergänzt das um verstärkte Audits weiterer, darauf spezialisierter Personen, Unternehmen oder Institutionen, um auch den Marketinganteil einer solchen Analyse nicht zu vernachlässigen.

Vor allem, aber, tut bitte nicht so beleidigt und bleibt respektvoll. Da bringt es jetzt, wo die Nachricht verbreitet ist, auch nichts mehr, den Titel eures Blogbeitrags von „New Paper on Old Threema Protocol“ (auf Twitter noch der Beisatz: „Apparently, today’s academia forces researchers and even students to hopelessly oversell their findings.“) auf „Statement on ETH-Findings“ zu ändern und den Blogbeitrag ein wenig umzuschreiben. Herrje, sogar Fefe schreibt sichtlich emotionalisiert…

Threema hat eine Stellungnahme veröffentlicht, die so defensiv geschrieben ist, dass sie es schafft, den Laden noch schlechter aussehen zu lassen als er eh schon rüberkam. Sie hätten auch einfach sagen können: Die Findings sind valide, wir haben Fehler gemacht, und es tut uns leid. Wir geloben Besserung. Stattdessen lauter „das ist doch bloß theoretisch“ und „das betrifft die aktuelle Version nicht“ (die, die nach dem Melden dieser Lücken veröffentlicht wurde!).

fefe

Und die Reaktionen auf Twitter gehen in die gleiche Richtung:

WOAH! Remove your account from that poor intern’s hands and give it to some Crisis Mngmt old chap to brace for the reputation backlash of this shit. And yes, that is a bit of professional advice.

Matteo G.P. Flora

You’ve got to be kidding, right? Even if the findings are more theoretical in nature and the problems have been fixed, the arrogant way you chose to communicate about this makes me lose a lot of trust in your product. Some humility would have been in order.

Andreas Steiger

This is not how you should treat a team that has done responsible disclosure. I have a feeling you won’t be so lucky next time someone finds a vulnerability in your stack.

Guido Scalise

Die Kommunikation ist hier also wirklich ordentlich nach hinten losgegangen und anstatt sich jetzt „nur“ um die technischen Probleme kümmern zu müssen, muss sich Threema – ich wechsle wieder zurück in die distanziertere Form des Schreibens – nun auch noch um einen Image- und Reputationsschaden kümmern, der gerade bei technikaffinen Menschen schwer zu beheben sein wird, weil vor allem sie es sind, die wissenschaftlichen Erkenntnissen, anerkennenden Eingeständnissen und mit kühlem Kopf verfassten Reaktionen weitaus mehr Wert zuweisen als billigen, marketingtechnischen Kniffen.

Ehrlich, wie kann man nur aus einer so dermaßen guten Position in nicht einmal 24 Stunden so tief fallen? Ein Lehrstück für zukünftige Marketingklassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert