Threema: der sichere Messenger speichert Nachrichten in iOS im Klartext
Der schweizer Messenger Threema garantiert eine echte Ende-zu-Ende-Verschlüsselung von Nachrichten. Diese werden auf dem Smartphone verschlüsselt und auch wieder entschlüsselt. DIe nötigen Schlüssel haben nur die jeweiligen Nutzer, auf dem Server können die Nachrichten nicht ausgelesen werden. Verschickt werden können wie bei anderen Messengern auch, Textnachrichten, Bilder und Videos.
Timo Hetzel hat sich einmal genauer mit den FAQ zu Threema beschäftigt und ist auf etwas gestoßen. Threema schreibt, dass auf dem Gerät selbst die iOS Data Protection genutzt wird, um die Nachrichten auf dem Massenspeicher zu verschlüsseln. Diese ist nur aktiv, wenn man einen Sperrcode in den Systemeinstellungen festgelegt hat.
[werbung] Das Problem, das sich daraus ergibt ist, dass die Nachrichten auf dem Gerät unverschlüsselt gespeichert werden können und auch in ein iCloud- oder iTunes-Backup übertragen werden. Nachrichten können so ganz einfach mittels USB ausgelesen werden. Dazu ist kein Jailbreak nötig, lediglich ein Programm wie iExplorer.
Sicher ist das nicht die alleinige Schuld von Threema, unter Android arbeitet der Messenger mit einer eigenen AES-256-Verschlüsselung, um die Nachrichten auf dem Gerät zu schützen. Und unterwegs können keine Nachrichten abgegriffen werden, da sie von Gerät zu Gerät verschlüsselt sind. Aber ein deutlicherer Hinweis, dass es unter iOS eben so aussieht, wäre sicher angebracht gewesen.
Die Leute, die hier die ganze Zeit schreiben, dass man, wenn man keinen Sperrcode hat, etwas nicht verstanden habe, die haben was nicht verstanden.
Es gibt auch Leute, die WOLLEN keinen Sperrcode, da sie keine geheimen Chats haben, keine Nacktbilder auf ihrem Smartphone etc.. Trotzdem wollen diese Leute einen sicheren Messenger, da sie nicht wollen, dass die NSA (=! Familie) die Chats mitlesen kann.
Ich traue Threema übrigens nicht, da die Apps nicht Open Source sind.
Der Autor nimmt dazu in einem Interview / Podcast Stellung. http://monoxyd.de/20130118-die-wahrheit-017-threema-smartphone-messenger-mit-verschlusselung Im Podcast bei 32:50.
TobiH8: Auch dann _chatten_ sie immer noch sicher. Sie dürfen nur ihr Handy nicht aus der Hand geben, und immer am Mann/Frau tragen. Solang das kein anderer an sein Rechner anschließt, ist es noch verhältnismäßig sicher. Vorausgesetzt, sie backuppen nicht in die iCloud und verschlüsseln die Backups per iTunes.
Wer sein Handy ohne Sperrcode verwendet hat so oder so nie über Sicherheit nachgedacht (die Folgen solches Handelns kann man hier https://netzpolitik.org/2013/handy-polizei-kontrolle-von-andreas-baum-hat-kein-juristisches-nachspiel/ nachlesen).
Die Threema mache äußern sich dazu mit:
„Das Thema einer eigenen Verschlüsselung der lokal gespeicherten Daten durch Threema kommt immer wieder mal auf. Leider wird dabei aber oft vergessen, dass es für eine Ver*schlüsselung* auch einen *Schlüssel* braucht. Diesen kann man natürlich nicht am selben Ort speichern wie die zu verschlüsselnden Daten (sonst ist das reine Security by Obscurity), und zudem muss der Schlüssel lang genug sein, um Brute-Force-Attacken standzuhalten – kurze PINs o.dgl. scheiden also aus. Bei einer App wie
Threema würde es auf ein mindestens 10-stelliges Passwort herauslaufen, das nach jedem Neustart des App-Prozesses eingegeben werden müsste. Je nach Arbeitsspeichersituation kann dies sehr oft geschehen (u.U. sogar bei jedem Aufrufen der App) und wird normalerweise vom Benutzer gar nicht bemerkt. Wir glauben nicht, dass eine signifikante Anzahl der Benutzer diesen massiven Usability-Kompromiss eingehen würde.“
Also ich würde auch ein langes Passwort immer wieder eingeben, schön wäre es wenn man es sich einfach in der App aussuchen könnte.
Bei einem icloud sync wandern die daten also allesamt an apple und die nsa.
Die krönung ist die option, einen chat per email zu senden.
es wird ein unverschlüsseltes textfile wahlweise mit oder ohne Bilder per email versendet. Das geht gar nicht.
Auf meine Anfragen diesbezueglich erhielt ich von Threema schon 3 mal keine Antwort.
Ich sage nur finger weg von dieser app. Da kann man seine privaten nachrichten auch gleich hier ins forum posten. bei whatsapp wusste man wenigstens dass es nicht sicher war. Bei threema wiegelt man sich in falscher Sicherheit.