ИБ-эксперты из ETH Zurich проанализировали криптографические протоколы анонимного мессенджера Threema и выявили несколько уязвимостей, позволяющих обойти защиту аутентификации.

Найденные в криптопротоколе недостатки позволяют злоумышленнику:

  • выдать себя за легитимного пользователя;
  • изменить порядок сообщений в диалоге;
  • клонировать аккаунт жертвы;
  • использовать механизм восстановления резервной копии, чтобы получить закрытый ключ пользователя;
  • незаметно получать доступ к будущим сообщениям пользователей без ведома последних;
  • получить доступ к серверам Threema для воспроизведения старых сообщений;

Также у хакера есть шанс провести атаку, при которой его сервер обманом заставляет клиента «зашифровать сообщение по выбору сервера, которое может быть доставлено другому пользователю».

В Theema считают, что результаты анализа предполагают обширные и нереалистичные предпосылки. Однако компания уже выпустила новый протокол связи, устраняющий недостатки.

11 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
11.10.2024
Оплата картой «Мир» в Никарагуа — вопрос перспективы
11.10.2024
CISA и ФБР опасаются, что иранские хакеры могут навредить выборам
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных