/ Security / Sicherheits-Audit von Krypto-Messenger Wire abgeschlossen

Sicherheits-Audit von Krypto-Messenger Wire abgeschlossen

Moritz Rosenfeld on February 12, 2017 - 4:35 am in Security

Zwei unabhängige Sicherheitsfirmen haben gründlich in den Ende-zu-Ende verschlüsselnden Messenger Wire geguckt. Dabei stießen sie auf keine kritischen Lücken.

Der Krypto-Messenger Wire setzt auf State-of-the-Art-Kryptografie, um Nachrichten Ende-zu-Ende verschlüsselt zu verschicken. Dabei kommt eine Variation des Axolotl-Protokolls von Moxie Marlinspike zum Einsatz; darauf setzen in ähnlicher Form auch Signal und WhatsApp.

Ob die Spezifikationen und Implementierungen im Open-Source-Messenger Wire wirklich sicher sind, haben nun Sicherheitsforscher von Kudelski Security und X41 D-Sec abgeklopft – insgesamt sind sie zufrieden. Im Zuge des Audits haben sie das Wire-eigene auf Axolotl basiernde Open-Source-Protokoll Proteus, die High-Level API Cryptobox und den C Wrapper Cryptobox-C auseinandergenommen.

Unter anderem aus diesen Elementen setzen sich die Wire-Versionen für Android, Linux, iOS, macOS, Windows und Wire for Web zusammen. Somit gilt das positive Ergebnis der Sicherheitsprüfung für diese Wire-Ausgaben.

Diverse Schwachstellen aufgedeckt

Beim Audit sind die Sicherheitsforscher eigenen Angaben zufolge auf keine kritischen Lücken gestoßen. Insgesamt haben sie dennoch 14 Schwachstellen im analysierten Code gefunden. Neun davon stufen sie mit dem Bedrohungsgrad mittel ein, die restlichen fünf mit niedrig.

Ein Sicherheitsrisiko ist etwa, dass Wire unter gewissen Voraussetzungen ungültige öffentliche Schlüssel ohne zu meckern annehmen könnte. Als Konsequenz wäre das bei einer Kommunikation ausgehandelte Geheimnis gefährdet. Die Lücken sollen mittlerweile geschlossen sein. Im Report zum Wire-Audit findet man weiterführende Informationen.

Die Wire-Macher haben sich für Kudelski Security und X41 D-Sec als Sicherheitsprüfer entschieden, weil diese Firmen einiges an Erfahrung vorweisen können. Unter anderem haben sie die erste Sicherheitslücke im Krypto-Messenger Signal entdeckt. (des)

Read more on: Source

Comments are disabled