Threema严重安全漏洞的发现与影响

概述

瑞士即时通讯应用Threema，声称提供“无其他聊天服务可比”的安全和隐私保护，但学术研究人员发现其核心存在严重漏洞。这些漏洞严重破坏了其保密性和身份验证的保证，这些保证是任何标榜提供端到端加密（E2EE）的程序的基石。

Threema的用户与市场地位

Threema拥有超过1000万用户，包括瑞士政府、瑞士军队、德国总理奥拉夫·朔尔茨等。Threema开发者将其宣传为比Meta的WhatsApp更安全的替代品，并在瑞士、德国、奥地利、加拿大和澳大利亚的付费应用类别中名列前茅。

发现的七个严重漏洞

苏黎世联邦理工学院（ETH）的研究人员报告了七个漏洞，这些漏洞严重质疑了Threema多年来提供的真实安全水平。这些漏洞包括：

1. 无需特殊访问权限的外部攻击者：

   • 一旦临时密钥暴露，攻击者可以永久冒充客户端并获取所有E2EE消息的元数据。
   • 攻击者可以通过发送垃圾邮件诱使用户发送特定字符到特殊账户，从而冒充用户。

2. 攻击者获得Threema服务器访问权限：

   • 消息元数据缺乏完整性保护，攻击者可以秘密重新排序或删除消息。
   • 错误使用nonce处理，允许“重放和反射”攻击。
   • 客户端注册过程中的挑战-响应协议存在漏洞，攻击者可以创建“kompromat”。

3. 攻击者获得未锁定的手机访问权限：

   • 用户可以将私钥导出到其他设备，攻击者可以轻松克隆Threema账户。
   • 消息压缩在加密前发生，攻击者可以通过观察备份文件大小恢复用户私钥。

漏洞的根本原因

研究人员指出，所有漏洞的根本原因是Threema使用了自定义协议，而不是经过时间考验的现有协议。自定义协议缺乏现代即时通讯应用应具备的基本安全属性，如前向保密、防止重放、反射和重新排序攻击。

Threema的回应

Threema官方表示，这些漏洞适用于已不再使用的旧协议，并认为研究人员的发现在实际中影响有限。然而，研究人员指出，他们分析的协议之所以旧，是因为他们向Threema披露了漏洞，Threema随后更新了协议。

漏洞的实际影响

目前没有证据表明这些漏洞已被积极利用。最实际的漏洞是私钥的无保护导出，结合服务器漏洞，攻击者可以在几分钟内永久破坏Threema设备并解密所有消息。

修复措施

Threema在研究人员私下分享发现后引入了缓解措施，包括新的自定义协议Ibex，修复了部分漏洞，并移除了消息压缩功能。然而，研究人员尚未对Ibex协议进行审计，无法保证其安全性。

结论

尽管Threema因其强大的E2EE而广受赞誉，并经过至少两次安全审计，但这些漏洞的发现暴露了其设计中的基本缺陷。研究人员认为，Threema的加密核心存在基本设计缺陷，需要解决以恢复其安全声明与实际交付之间的平衡。