Recherche: Fast alle von Ihnen verwendeten Instant Messenger sind sicher
Ein Messenger, der hauptsächlich in China verwendet wird, hat mehr als 130.000 höchst explizite Bilder, Videos und Audioaufnahmen seiner Benutzer veröffentlicht. Dieser Messaging-Dienst war zwar mit einem Unternehmen verbunden, das ein angeblich „privates soziales Netzwerk” anbot und daher eine kleine Nutzerbasis hatte.
Die Jungs von CyberNews haben in ihrer neuen Studie die Sicherheitsfunktionen großer Messaging-Anwendungen bewertet, wir haben sie übersetzt und laden Sie ein, einen Blick darauf zu werfen.
Wir haben gute Nachrichten für Benutzer der beliebtesten Messenger: 11 von 13 Apps, alle außer Telegram und Facebook Messenger, haben standardmäßig Sicherheitsfunktionen aktiviert. Das sieht vielversprechend aus und die Messenger-Industrie bewegt sich eindeutig in die richtige Richtung.
Die Forscher fanden auch heraus, dass die meisten Anwendungen RSA- und AES- Verschlüsselung und Schlüssel-Hashing verwenden, die die sichersten und effizientesten Verschlüsselungsmethoden sind, die heute verfügbar sind.
Im Allgemeinen wird eine Verschlüsselung nicht nur zum Schutz „privater” Nachrichten benötigt. Solche sicheren Boten ermöglichen es Aktivisten aus aller Welt, gegen Ungerechtigkeit und autoritäre Herrschaft zu kämpfen, ohne Angst vor Verfolgung zu haben, wie zum Beispiel die Anti-Lukaschenko-Proteste in Weißrussland.
Objekte der Analyse
Um die Analyse durchzuführen, untersuchten die Forscher verschiedene Aspekte von 13 beliebten sicheren Messaging-Apps:
- Signal
- Wickr Me
- Bote
- Telegramm
- Kabel
- Viber
- Cyber-Staub
- iMessage
- Privatgelände
- Qtox
- Sitzung
- Briar
Wichtige Erkenntnisse
Die Analyse umfasste die verwendeten Kommunikationsprotokolle und Verschlüsselungsstandards verschiedener Anwendungen, Schlüsselaustauschprinzipien und kryptografische Primitive.
- 2-Anwendungen verwenden standardmäßig keine Sicherheitsfunktionen, der Benutzer muss sie selbst in den Einstellungen aktivieren
- 4 Apps verwenden Signalverschlüsselung nach Industriestandard
- nur 2 Apps verwenden das P2P -Protokoll für den Datenaustausch
- iMessage verschlüsselt keine Nachrichten, wenn sie über GSM gesendet werden (unter Verwendung von 2G- und 3G-Netzwerken)
- 3 von 13 Apps haben ein Abonnement, mit dem Sie erweiterte Funktionen nutzen können
- Die meisten Anwendungen verwenden RSA und AES, einige der sichersten heute verfügbaren Verschlüsselungsalgorithmen, zum Verschlüsseln und Hashen von Schlüsseln
Wie sichere Messenger funktionieren
Während der Fokus auf den beliebtesten Messaging-Apps wie Signal, Messenger, Viber, Telegram und WhatsApp liegt, erweiterten die Forscher die Analyse um andere Messaging-Apps, um umfassende Einblicke in die Branche selbst zu erhalten. Wir werden auch über Session, Briar, Wickr Me, Wire und Cyber Dust sprechen.
Was gefunden wurde, ist größtenteils ermutigend: Alle Apps bis auf zwei boten standardmäßig Sicherheit, und Telegram und Messenger konnten leicht durch Ändern der Benutzereinstellungen gesichert werden.
Vier Anwendungen – Signal, Messenger, WhatsApp und Session – verwendeten das Signal-Protokoll für die Ende-zu-Ende-Verschlüsselung. Bei der Ende-zu-Ende-Verschlüsselung können nur der Absender und der Empfänger Nachrichten anzeigen, während ohne Ende-zu-Ende-Verschlüsselung der Messaging-Anwendungsserver, der sich zwischen dem Absender und dem Empfänger befindet, die Nachrichten lesen kann. Das Signal-Protokoll ist zum Industriestandard für sichere Messaging-, Sprach- und Videokommunikation geworden.
Interessant bei der iMessage -App, die auf Apple-Geräten zum Einsatz kommt, ist, dass sie Daten nur dann verschlüsselt, wenn sie über HTTPS gesendet werden. Beim Versand über GSM (2G und 3G) werden die Daten nicht verschlüsselt.
Nur zwei Anwendungen, Briar und Qtox, verwenden das P2P – Protokoll, um Daten über ein Peer-to-Peer-Netzwerk zu übertragen. Mit P2P können Sie Daten direkt von Benutzer zu Benutzer übertragen, ohne den Server als Vermittler zu verwenden. Während Briar andere Übertragungsprotokolle anbietet, verwendet Qtox nur sein eigenes P2P TOX. Aus diesem Grund haben sie keine Datenschutzrichtlinie, da sie keinen Zugriff auf Benutzerdaten haben.
Alle getesteten Messenger sind kostenlos oder haben eine kostenlose Version, nur Wire erfordert ein kostenpflichtiges Abonnement. Der Grund dafür ist, dass es für Unternehmensanforderungen wie Slack oder Microsoft Teams entwickelt wurde und nur Ende-zu-Ende-Verschlüsselung unterstützt.
Im Allgemeinen kamen die Forscher zu dem Schluss, dass Sie mit diesen Messengern sicher kommunizieren können. Denken Sie jedoch daran, dass Sie für Facebook Messenger oder Telegram Sicherheitsfunktionen in den Einstellungen der Anwendung oder eines separaten Chats aktivieren müssen.
Dies ist nicht nur aus Sicherheitsgründen, sondern auch zur Wahrung der Privatsphäre erforderlich, da die Server von Facebook und Telegram Ihre Nachrichten ebenfalls nicht einsehen können.
Was versteht man unter Sicherheit bei Messengern und wofür bieten sie keine Sicherheit?
Es ist wichtig zu verstehen, dass es einige Einschränkungen gibt, wenn wir über Sicherheit in Messengern sprechen. Auf lange Sicht hängt es davon ab, wie genau Sie sie verwenden werden.
Für den normalen Gebrauch ist es wichtig, dass Ihr Messenger Daten verschlüsselt, vorzugsweise standardmäßig. Darüber hinaus gibt es aber auch Nutzer, die möglichst viel Sicherheit wünschen, also vollständige oder fast vollständige Anonymität. Damit niemand außer ihnen Nachrichten sehen, ihren Austausch verfolgen oder sogar ihre Namen kennen kann. Vor diesem Hintergrund scheitern die meisten dieser Dienste. Zumindest, weil die Bewerbungen nicht perfekt sind, genau wie die Leute, die sie schreiben. Eine App kann alle stärksten Sicherheitsfunktionen verwenden, aber keine App ist immun gegen einen Fehler.
Eines der deutlichsten Beispiele dafür ist WhatsApp, das seit vielen Jahren Schwachstellen aufweist. Zum Beispiel erlaubte israelische Spyware die Installation von Spyware nur, indem das Opfer über WhatApp angerufen wurde. Facebook Messenger hatte auch Schwachstellen, die es Hackern ermöglichten, Ihre Gespräche ohne großen Aufwand heimlich abzuhören.
Sogar Signal, das von Cybersicherheitsexperten empfohlen wird, wurde Opfer eines ausgeklügelten Hacks, der es ihnen ermöglichte , Sie mit einer Art Geisteranruf zu belauschen. Sie telefonierten und drückten sofort die Stummschalttaste. Der Anruf war nicht sichtbar, aber sie könnten Ihre Umgebung belauscht haben.
Und dies sind nur Fälle, in denen Hacker Schwachstellen nutzen, um Einzelpersonen anzugreifen. Im Laufe der Jahre haben Regierungs- und Strafverfolgungsbehörden verschiedene Methoden angewendet, um ganze Gruppen von Menschen auszuspionieren. In Hongkong nutzte die chinesische Regierung Berichten zufolge einen Telegram – Bug, um an die Telefonnummern der Benutzer zu gelangen. Deutsche Forscher fanden auch heraus, dass WhatsApp, Signal und Telegram die persönlichen Daten der Benutzer über Kontakte preisgaben .
Keine dieser Anwendungen bietet absolute Sicherheit und wird es niemals tun, da eine Person oder Gruppe von Personen mit genügend Zeit und Ressourcen immer eine Problemumgehung finden wird. Selbst wenn die Anwendung für sich genommen völlig sicher wäre, könnte sie Ihre eigenen Fehler nicht beheben.
Wie auch in der Telegramm-FAQ gesagt:
„Wir können Sie nicht vor Ihrer eigenen Mutter schützen, wenn sie Ihr entsperrtes Telefon ohne Passwort nimmt. Oder von Ihrer IT-Abteilung, wenn diese bei der Arbeit Zugriff auf Ihren Computer hat. Oder von anderen Personen, die physischen oder Root-Zugriff auf Ihre Telefone oder Computer erhalten, auf denen Telegram installiert ist.”
Wenn Sie sich unsicher verhalten, kann Sie keine sichere Messaging-App retten.
Ergebnistabelle
In der Abbildung unten finden Sie alle Details zu den 13 Messaging-Apps, die wir in diesem Artikel überprüft haben.
Laut CyberNews.