Threema app on a blue and green background

ETH チューリッヒの研究者チームは、安全なエンドツーエンドの暗号化通信アプリである Threema の複数のセキュリティ上の欠陥を説明する論文を公開しました。

Threema は、プライバシーに重点を置き、セキュリティを強化したスイス製の通信アプリで、国の政府、 陸軍サービス、および世界中の 1,000 万人を超えるユーザーと 7,000 の組織によって使用されています。

ETH チューリッヒのチームは、秘密鍵の盗み、メッセージの削除、認証の突破、サーバーのなりすましなど、アプリを介した通信のプライバシーに影響を与える可能性がある Threema のプロトコルに対する 7 つの攻撃を考案しました。

調査結果は 2022 年 10 月に Threema に報告され、その後すぐに、ソフトウェア会社は「Ibex」という名前の新しいより強力なプロトコルをリリースし、問題に対処したとのことです。

最終的に、Threema は ETH Zurich の調査の重要性を却下し、開示された問題はソフトウェアが使用するプロトコルとはもはや関係がなく、現実世界に大きな影響を与えることはなかったと述べました。

スリーマを破る

ETH チューリッヒのチームは、Threema のセキュリティを調査し、ソフトウェア ベンダーによる主張を評価することにしました。

研究者は、その発見に関する詳細な技術論文を発表しましたが、発見した主な問題は次の点に要約できます。

  • エフェメラル キー侵害のなりすまし– 攻撃者は、クライアントのエフェメラル キーを盗むことにより、サーバーに対して永久にクライアントになりすますことができます。また、一時的なキーを 1 回だけ使用する代わりに、Threema はそれらを再利用しているように見えました。
  • バウチ ボックスの偽造– 攻撃者は、ユーザーをだまして有効なバウチ ボックスを送信させ、それを使用してサーバーに対してクライアントになりすますことができます。
  • メッセージの並べ替えと削除– 悪意のあるサーバーは、あるユーザーから別のユーザーに任意の順序でメッセージを転送したり、削除のように機能する特定のメッセージの配信を保留したりできます。
  • リプレイ攻撃とリフレクション攻撃– Android バージョンの Threema のメッセージ ナンス データベースは転送できないため、メッセージ リプレイ攻撃とリフレクション攻撃への道が開かれます。
  • Kompromat 攻撃– 悪意のあるサーバーは、初期登録プロトコル中にサーバーと通信している間、および E2E プロトコルで他のユーザーと通信している間に、クライアントをだまして同じキーを使用させることができます。
  • Threema ID エクスポートによるクローン作成 – 攻撃者は、被害者がデバイスのロックを解除して無人のままにしておくなどの機会に、自分のデバイスで他の人のアカウントを複製することができます。
  • 圧縮サイドチャネル– Threema の暗号化の脆弱性により、攻撃者は自分のユーザー名を制御し、Android デバイスで複数のバックアップを強制することにより、ユーザーの秘密鍵を抽出できます。攻撃の実行には数時間かかる場合があります。

ETH チューリッヒのアナリストは、2022 年 10 月 3 日に上記の内容を Threema に開示すると同時に、緩和に関する推奨事項も提供し、2023 年 1 月 9 日に問題を公開することに同意しました。

一方、2022 年 11 月 29 日、Threema は、Threema の e2ee レイヤーにフォワード セキュリティを実装する新しい通信プロトコル Ibex をリリースしました。ただし、このプロトコルはまだ監査されていません。

スリーマの反応

Threema は、問題の開示に関する声明を発表し、調査結果の現在の適用可能性と全体的な歴史的重要性は、「現実世界」に大きな影響を与えていないと述べています。

「この論文で提示された調査結果のいくつかは理論的な観点から興味深いかもしれませんが、現実世界に大きな影響を与えたものはありません。ほとんどは、それぞれの調査結果自体よりもはるかに大きな結果をもたらす広範で非現実的な前提条件を想定しています。」 – スリーマ

より具体的には、Threema は次のように述べています。

  • 「Threema ID エクスポートによるクローニング」 攻撃は既知であり、2021 年に対処されました。
  • 「エフェメラル キー侵害のなりすまし」攻撃は純粋に技術的な関心事であり、「実用的な適用性はまったくありません」。
  • 「バウチ ボックス偽造」攻撃は「ソーシャル エンジニアリング」に依存しており、実際に適用することはできず、標的となるユーザーによる意図的で広範かつ異常な協力が必要でした。
  • その他の攻撃では、ロックされていないモバイル デバイスに長期間にわたって物理的にアクセスするか、ロックされていない Threema デバイスに直接アクセスする必要があります。

Threema はまた、「Ibex」プロトコルが ETH チューリッヒ チームの調査結果に基づいて設計されているという主張を却下しています。プロトコルはすでに 1 年半前から開発されているからです。

さらに、Threema は、そのリリースが研究者の開示と一致したと主張しています。