标题 : Threema争议加密漏洞披露
日期 : 2023-06-21
对漏洞披露的“居高临下”反应激怒了信息安全社区
在加密消息应用程序开发人员批评他们的工作后,安全研究人员为发现 Threema 中几个严重安全漏洞的学者辩护。
来自瑞士苏黎世联邦理工学院的一组计算机科学家在安全消息应用程序 Threema 中发现了总共七个漏洞,该应用程序拥有 1000 万用户,其中包括瑞士政府和现任德国总理 Olaf Scholz。
威胁模型
ETH 团队——由 Kenneth Paterson 教授、Matteo Scarlata 和 Kien Tuong Truong 组成——发现 Threema 既不具备“前向安全性”,也不具备妥协后安全性。
前向安全意味着即使在妥协之后,攻击者也无法解密在黑客入侵之前加密的数据。妥协后的安全性涉及建立这样的体系结构,以便在攻击后可以恢复安全性,前提是任何攻击者都被从通信交换过程中清除。
发现的七个漏洞涉及三种不同的威胁模型:网络攻击者、受感染的服务器和强制访问。
推出自己的加密货币
由于 Threema 使用定制的加密技术,出现了问题。例如,瑞士服务的定制客户端到服务器 (C2S) 协议具有临时密钥。从理论上讲,这应该使会话彼此独立。
然而,ETH 研究人员发现,泄露单个客户端临时密钥会让攻击者无限期地冒充该客户端。
不要错过 告诉我们如何改进 The Daily Swig 来赢得奖品的机会
研究人员于去年 10 月初向 Threema 的开发人员披露了这个缺陷和其他六个漏洞。在 Threema 于 2022 年 11 月下旬发布新协议 Ibex 之前进行了修改,以进一步缓解攻击。
按照商定,研究人员推迟到 1 月 9 日星期一发布他们的研究结果。
“无可救药地超卖”
Threema 随后决定不尊重研究人员对研究结果发表的回应,在此过程中引起了更广泛的信息安全社区的愤怒。
“有一篇关于 Threema 旧通信协议的新论文,”该供应商在其官方 Twitter 帐户上写道。“显然,当今的学术界迫使研究人员甚至学生无可救药地夸大他们的发现。这是一些真正的谈话。
Threema在一份相关声明中承认,“虽然论文中提出的一些发现从理论角度来看可能很有趣,但它们都没有对现实世界产生任何重大影响”。
“居高临下”
瑞士安全研究员克里斯蒂安·福利尼 (Christian Folini) 将 Threema 的回应形容为“居高临下”。
“判断安全研究的质量不是你的工作。你的工作是齐心协力,向我们提供修复方案,然后将评估留给第三方,” Folini 在 Twitter 上说。
萨里大学计算机科学家艾伦·伍德沃德教授同意,Threema 对研究人员进行了不必要的攻击,他将其描述为对加密消息应用程序的建设性批评。
了解最新的加密安全新闻
“他们 [Threema] 的语气相当轻蔑,称这是一个较旧的版本,他们已经解决了所有发现的问题,但 Threema 之所以能够这么说,是因为他们所做的工作和负责任的披露,”伍德沃德教授告诉 The Daily Swig。
“我忍不住 [但] 认为,如果应用程序开发人员采取这种态度,研究人员可能不太愿意负责任地合作。”
关于所发现的安全问题的实质内容,伍德沃德教授告诉 The Daily Swig,这些问题“似乎是因为他们 [Threema] 推出了自己的协议,加上他们正在处理所选库 Nacl 的一些限制”。
Daily Swig邀请 ETH 团队对他们发现的缺陷和披露过程发表评论。目前还没有消息,但我们会在收到更多信息时更新这个故事。
肯尼思·帕特森教授公开表示他对 Threema 的回应感到失望。
“在负责任的披露期间与 ThreemaApp 进行了建设性接触后,这出乎意料地不屑一顾。我们以六种方式打破了他们的协议。由于我们的工作,他们更新了它,”帕特森教授在推特上说。
|