Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
تقنية

تطبيق دردشة مشفر Threema مليء بالأخطاء القابلة للاختراق: دراسة


صورة: بوردون إليا (صراع الأسهم)

تطبيق دردشة مشفر من طرف إلى طرف لا يجمع أي بيانات وصفية ولا يتطلب أي معلومات شخصية للتسجيل؟ يبدو وكأنه حلم أصبح حقيقة لعشاق الخصوصية. المشكلة الوحيدة هي ذلك ثريما، شركة الخصوصية السويسرية التي تقف وراء برنامج المراسلة المعني ، تستخدم بروتوكول تشفير غير موثوق به ، وكان من الممكن أن تسمح أخطائه للمتسللين الأذكياء باختراق حوالات المستخدمين التي يفترض أنها آمنة وسرية. نعم فعلا.

تم اكتشاف مشكلات Threema الأمنية المؤسفة في أواخر العام الماضي من قبل طالب علوم كمبيوتر في زيورخ ومشرفيه الأكاديميين. بعد النجاح في هزيمة دفاعات التطبيق بنجاح ، كشف الثلاثي عن النتائج التي توصلوا إليها ، مما سمح للشركة بتحديث بروتوكولاتها بهدوء وتصحيح الثغرات الأمنية التي كانت ستسمح بهجمات افتراضية. نشر الباحثون هذا الأسبوع هذا الموجوداتكشف كيف ترك بروتوكول التشفير السابق للتطبيق بالتأكيد شيئًا مرغوبًا فيه.

كتب الباحثون: “في عملنا ، نقدم سبع هجمات ضد بروتوكولات التشفير المستخدمة من قبل Threema ، في ثلاثة نماذج تهديد متميزة”. “كل الهجمات مصحوبة بإثباتات تنفيذية تثبت جدواها في الممارسة العملية”.

تلك الهجمات النظرية ، والتي يمكنك أن تقرأ عنها على نطاق أوسع في ورق، عرض عددًا من الطرق المختلفة للانزلاق أسفل جدار التشفير القوي المفترض في Threema. يمكنك القول إنها أخبار سيئة جدًا لشركة تعتبر نفسها تطبيق “أقصى درجات الأمان” والتي ادعت ، حتى وقت قريب ، أن برنامج المراسلة الخاص بها أكثر أمنا من أي عنصر آخر – بما في ذلك عنصر E2EE الأساسي الشهير الإشارة.

من المحتمل أيضًا أن تكون أخبارًا سيئة لعملاء Threema. كما لاحظ الباحثون ، فإن التطبيق المرموق لديه أكثر من 10 ملايين مستخدم منتظم – بما في ذلك الآلاف من عملاء الشركات وعدد من “المستخدمين البارزين” بشكل خاص ، مثل “الحكومة السويسرية والجيش السويسري ، وكذلك المستشار الحالي لألمانيا ، أولاف شولتز “.

بعد قولي هذا ، شكك Threema جزئيًا في جدوى الهجمات. ردا على النتائج ، نشرت الشركة أ بيان يوضح هذا الأسبوع أنه لا يرى بالضرورة الثغرات الأمنية المكتشفة مؤخرًا على أنها قابلة للتطبيق بشكل واقعي. لا احد منهم [the security flaws] من أي وقت مضى أي تأثير كبير في العالم الحقيقي “، زعمت الشركة.

عندما اتصلت Gizmodo بالتعليق ، أوضحت المتحدثة باسم Threema جوليا فايس أن منصة الدردشة تعمل الآن على زيادة مستوى الأمان ، بما في ذلك عمليات تدقيق خارجية جديدة وبرنامج مكافأة الأخطاء الذي يقدم مكافأة تصل إلى 10000 فرنك سويسري “للمتسللين الودودين”. وقال فايس أيضًا إن بروتوكول Threema الجديد ، “Ibex” ، الذي حل محل البروتوكول القديم ، كان “حديثًا” ، و “تم تطويره بالتعاون مع خبير تشفير خارجي”.

“إنها حقيقة في صناعة البرمجيات أن الأخطاء لا يمكن استبعادها تمامًا وتنزلق حتى في أكثر ضمانات الجودة صرامة [quality assurances] العمليات ، “قال فايس في رسالة بريد إلكتروني. هذا يؤثر على جميع التطبيقات وأنظمة التشغيل. لهذا السبب لا نتصرف بشكل استباقي فحسب ، بل نفخر أيضًا بقدرتنا على الاستجابة بسرعة لمثل هذه المواقف “.

تيلا يوجد دليل على أن أي شخص استخدم أساليب الهجوم هذه لفك تشفير البيانات أو اختراقها من المحادثات على Threema. ومع ذلك ، لا يزال هذا تذكيرًا جيدًا بأنه لمجرد أن النظام الأساسي يوفر تشفيرًا من طرف إلى طرف لا يعني بالضرورة أن اتصالاتك آمنة. على الرغم من أن برامج المراسلة قد تقدم التشفير ، إلا أن هناك دائمًا طريقة للتغلب على مثل هذه الحماية. آخر حديث حادثةالتي تضمنت مصفوفة بروتوكول اتصالات E2EE الشهيرة ، أظهرت أن النظام الأساسي به أخطاء برمجية خطيرة من شأنها أن تسمح باختراق المحادثات.

الإشارة ، على حد علمنا ، لديها لم يكن لدي مشكلة من هذا النوع – لكن هذا لا يعني أنه لا يمكن أن يحدث. كما هو الحال مع أي شيء يتعلق بالإنترنت ، قد لا يكون الاختراق أمرًا محتملًا ، لكنه ممكن دائما.


اكتشاف المزيد من إشراق التقنية

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

اكتشاف المزيد من إشراق التقنية

اشترك الآن للاستمرار في القراءة والحصول على حق الوصول إلى الأرشيف الكامل.

Continue reading