Messenger Threema war löchrig wie ein Schweizer Käse
Der Schweizer Messengerdienst Threema eroberte den Markt im Sturm. Die App hat mehr als 10 Millionen Nutzer*innen, darunter etwa die Schweizer Bundesverwaltung. Angetreten war die App vor 10 Jahren als Alternative zu WhatsApp. Threema versprach, sicherer zu sein als seine Konkurrenten.
Wie Forscher*innen der Eidgenössischen Technischen Hochschule Zürich (ETH) nun feststellten, entspricht dies nicht der Wahrheit. Über einen Zeitraum von 6 Monaten untersuchte das Forschungsteam vergangenes Jahr die Kryptografie, die bei Threema zum Einsatz kommt. Der Messengerdienst weise gravierende Mängel auf, lautet die Schlussfolgerung der Studie.
Insgesamt haben die Wissenschaftler*innen 7 Schwachstellen identifiziert. Cyberkriminelle könnten sie als Einfallstore nutzen, um unter anderem Konten zu klonen, Nachrichten zu lesen oder gar Kontakte zu stehlen. „Die Verschlüsselung von Threema hinkt mehrere Jahre hinterher", sagt ETH-Professer Kenneth Paterson gegenüber der NZZ.
Threema: Daten waren nie in Gefahr
Threema entgegnet, die Ergebnisse der Studie mögen zwar "aus theoretischer Sicht interessant" sein, hätten aber keine "nennenswerten Auswirkungen in der Praxis".
Auch im Gespräch mit der NZZ sagtThreema-Chef Martin Blatter, die Studie sei nur „akademischer Natur“. Die ETH habe nicht nachweisen können, das über die Schwachstellen auf Inhalte zugegriffen werden kann. „Die Daten unserer Nutzer waren nie in Gefahr", sagt Blatter.
Neue Version soll Löcher stopfen
Threema überarbeitete kurz darauf seine Verschlüsselung. Damit sollen sämtliche Schwachstellen des Chatdienstes ausgemerzt sein, heißt es. "Die Einführung wirkt etwas überstürzt", lautet die Einschätzung der NZZ. Und auch die ETH-Forscher Paterson selbst meint gegenüber The Register, das alte Protokoll sei "nur aufgrund unserer Forschung auf die 'neue' Version aktualisiert worden".
Dank der Überarbeitung stellen die in der Studie nachgewiesenen Schwachstellen nun keine Bedrohung für Nutzer*innen dar, so Paterson. Die Aussagen von Threema zu der Causa, seien allerdings "extrem irreführend" gewesen, zeigt sich der Forscher enttäuscht.