.
Um aplicativo de mensagens supostamente seguro preferido pelo governo suíço e pelo exército estava infestado de bugs – possivelmente por um longo tempo – antes de uma auditoria dos pesquisadores da ETH Zurich.
O grupo de criptografia aplicada da universidade publicou esta semana pesquisa [PDF] detalhando sete vulnerabilidades nos protocolos criptográficos desenvolvidos pela Threema. As vulnerabilidades, se exploradas, poderiam ter permitido que criminosos clonassem contas e lessem suas mensagens, bem como roubassem chaves privadas e contatos e até mesmo fabricassem material comprometedor para fins de chantagem.
Enquanto o aplicativo com sede na Suíça – que se apresenta como uma alternativa mais segura e não baseada nos EUA ao WhatsApp – não é tão amplamente utilizado quanto o Signal ou o Telegram, seus data centers estão localizados em território alpino. Isso o torna um aplicativo de mensagens popular para usuários – como o exército suíço – que desejam evitar possíveis espionagens de governos estrangeiros. Possui mais de dez milhões de usuários e 7.000 clientes locais – incluindo o chanceler alemão Olaf Scholz.
Threema minimizou os bugs em um postagem no blog sobre a pesquisa. As vulnerabilidades foram encontradas em um protocolo que o Threema não usa mais e, embora os bugs possam ser “interessantes do ponto de vista teórico, nenhum deles teve um impacto considerável no mundo real”, de acordo com o post.
Aqui está mais da declaração da empresa suíça:
Os três pesquisadores – o professor de ciência da computação Kenneth Paterson e os estudantes de doutorado Matteo Scarlata e Kien Tuong Truong – observaram em um local na rede Internet sobre as falhas de segurança do Threema que eles divulgaram originalmente sua descoberta à empresa em outubro de 2022 e, posteriormente, concordaram em uma data de divulgação pública em 9 de janeiro.
A Threema lançou seu protocolo Ibex no final de novembro “para mitigar ainda mais nossos ataques”, e os pesquisadores observaram que não auditaram esse novo protocolo, que foi divulgado após a investigação. Eles, no entanto, “acreditam que todas as vulnerabilidades que descobrimos foram mitigadas pelos patches recentes do Threema”, escreveram os pesquisadores.
Em um e-mail para Strong The OnePaterson observou que o antigo protocolo “só foi atualizado para a ‘nova’ versão por causa de nossa pesquisa”.
A declaração de Threema “é extremamente enganosa”, acrescentou. “É muito decepcionante que tenham retratado a situação atual dessa maneira altamente enganosa.”
Embora os pesquisadores admitam que esses bugs específicos não representam mais uma ameaça para os clientes da Threema, sua descoberta ainda destaca a dificuldade em avaliar “reivindicações de segurança feitas por desenvolvedores de aplicativos que dependem de protocolos criptográficos personalizados”.
“Idealmente, qualquer aplicativo que use novos protocolos criptográficos deve vir com suas próprias análises formais de segurança (na forma de provas de segurança) para fornecer fortes garantias de segurança”, acrescentaram. “Essa análise pode ajudar a reduzir a incerteza sobre se ainda existem vulnerabilidades criptográficas sérias no Threema”. ®
.
