Wurde die sichere IM-App Surespot von der Regierung kompromittiert?

Surespot ist eine Open Source Secure Messaging App für Android und iOS. Es zeichnet sich durch eine starke Verschlüsselung aus (56-Bit-AES-GCM-Verschlüsselung mit Schlüsseln, die mit 521-Bit-ECDH erstellt wurden), Unterstützung für lange Nachrichten und Selbstzerstörungsfunktion für Nachrichten. Allein die Android-Version wurde 100.000 bis 500.000 Mal installiert. In unserer Zusammenfassung der Secure-Alternativen zu WhatsApp im letzten Jahr haben wir das festgestellt,

"SureSpot unterstützt Perfect Forward Secrecy nicht (obwohl paranoidere Benutzer jederzeit neue Schlüssel generieren können), und es gibt eine bekannte Sicherheitsanfälligkeit für MiTM-Angriffe, aber insgesamt ist es eine sehr sichere und benutzerfreundliche App."

Surespot

Die App erlangte jedoch eine unerwünschte Bekanntheit, als die britische Daily Mail

"Britische Jihad-Bräute werden online mit einer Telefon-App gepflegt, die von Aktivisten der extremen Linken betrieben wird", kann die Mail verraten. Nachdem sie auf Twitter einer Gehirnwäsche unterzogen wurden, fordern die Personalvermittler des islamischen Staates die jungen Mädchen auf, mit ihnen über ein Nachrichtenprogramm namens Surespot zu kommunizieren. “

Im Mai folgte eine Nachricht von Channel 4,

"ISIS-Kämpfer und -Fans strömen in Scharen zu verschlüsselten Messaging-Apps, was die Sicherheitsdienste vor eine Herausforderung stellt. Sie geben an, dass sie die Möglichkeit verlieren, Daten von Terrorverdächtigen abzufangen." Eine Untersuchung von Channel 4 News kann das Ausmaß der Verwendung einer solchen verschlüsselten Messenger-App aufdecken, die wie WhatsApp oder Facebook Messenger funktioniert, jedoch ein sehr hohes Maß an Sicherheit bietet. Mindestens 115 mit ISIS verbundene Personen haben in den letzten sechs Monaten offenbar die beliebte App Surespot verwendet. “

Es ist daher nicht überraschend, dass die App das Interesse von Geheimdiensten geweckt hat, aber es scheint, dass die Dinge weiter fortgeschritten sind ...

Surespots Muttergesellschaft 2fours wurde von Cherie Berdovich und Adam Patacchiola geführt (obwohl die Daily Mail berichtet, dass Berdovich "letzten Sommer" verlassen hat.) Im Gegensatz zu einigen Sicherheitsprodukt-Websites betreibt Surespot keinen Haftbefehlskanarienvogel, so George Maschke, ein ehemaliger Geheimdienstoffizier der Armee und Surespot-Benutzer, kontaktierten Berdovich und Patacchiola im Mai letzten Jahres mit den fließenden Fragen,

„1 - Haben Sie jemals ein Nationales Sicherheitsschreiben erhalten??

2 - Haben Sie jemals eine gerichtliche Anordnung zur Information erhalten??

3 - Haben Sie jemals eine andere Bitte um Zusammenarbeit mit einer Regierungsbehörde erhalten? “

Er erhielt eine Antwort von Berdovich und sagte:,

"[Die Antwort auf alle Fragen ist Nein."

Maschke schrieb erneut im November 2014 und stellte die gleichen drei Fragen. Er erhielt eine Antwort von Patacchiola (der die App programmierte).,

"1 und 2, immer noch Nr. 3, wir haben eine E-Mail erhalten, in der wir gefragt werden, wie wir eine Vorladung bei uns einreichen sollen, die wir noch nicht erhalten haben."

Maschke war von dieser Antwort offensichtlich fasziniert und schickte am nächsten Tag erneut eine E-Mail mit der Frage: "Welche Behörde oder Organisation sucht nach Einzelheiten, wie eine Vorladung eingereicht werden soll?". Eher besorgniserregend erhielt er keine Antwort. Er erhielt auch keine Antwort, als er die gleichen Fragen im April 2015 und die folgenden Fragen im Mai sandte,

  1. Hat 2fours eine behördliche Anfrage nach Informationen über einen seiner Nutzer erhalten??
  2. Hat 2fours eine behördliche Aufforderung erhalten, die Surespot-Client-Software zu modifizieren??
  3. Hat 2fours eine behördliche Aufforderung erhalten, die Software des Surespot-Servers zu modifizieren? Hat 2fours eine andere behördliche Aufforderung erhalten, das elektronische Abhören jeglicher Art zu ermöglichen??
  4. Wenn die Antwort auf eine der oben genannten Fragen "Ja" lautet, können Sie dies näher erläutern? "

Weitere Versuche, Berdovich und Patacchiola über die Surespot-App zu kontaktieren, blieben ohne Erfolg.

Im Juni erklärte der Vorsitzende Michael McCaul einem Ausschuss für innere Sicherheit, dass er dies höre,

"Mobile Apps wie Kik und WhatsApp sowie datenvernichtende Apps wie Wickr und Surespot ermöglichen es Extremisten, außerhalb der Sicht der Strafverfolgung zu kommunizieren."

Später sagte Michael Steinbach, stellvertretender FBI-Direktor für Terrorismusbekämpfung, auf die Frage, ob das FBI darauf dränge, die Verschlüsselung zu beseitigen, "Hintertüren" in Software wie Surespot,

„Ich spreche davon, zu den Unternehmen zu gehen, die uns dann helfen könnten, die unverschlüsselten Informationen zu erhalten. Und das Attributionsstück - es ist wichtig zu verstehen, dass es je nach verwendeter Technologie - und dies erfordert, ganz offen gesagt, eine Technologiediskussion - Tokens gibt, die keine Attribution zulassen. Es ist also nicht ganz so einfach, nur andere Techniken oder Zuschreibungen zu verwenden. Manchmal ist diese Zuschreibung nicht vorhanden. "

Hmm ... das klingt verdächtig, als hätte Surespot, ähnlich wie Ladar Levison aus Lavabit, einen Haftbefehl nach dem Patriot Act ausgestellt, der die Zusammenarbeit mit den Behörden fordert und gleichzeitig einen Knebelbefehl hinzufügt, um die Eigentümer bei Gefängnisschmerzen davon abzuhalten ihre Benutzer auf die Tatsache aufmerksam zu machen.

Obwohl Herr Levison in der Lage war, sein Unternehmen zu schließen und dadurch seine Kunden zu schützen, hätte Patacchiola diese Option wahrscheinlich nicht zur Verfügung stehen können (Levison selbst wurde mit einer Verhaftung wegen seiner Handlungen gedroht.)

Natürlich ist jede solche Spekulation von unserer Seite einfach das - reine Spekulation.

Die Tatsache, dass Surespot End-to-End-Verschlüsselung verwendet, dürfte es theoretisch unmöglich machen, die Kommunikation der Benutzer auszuspionieren, selbst wenn 3fours tatsächlich kompromittiert wurde. Wenn die App Perfect Forward Secrecy nicht implementiert, können die Nachrichten der Benutzer möglicherweise entschlüsselt werden, und die in der Surespot-Datenbank gespeicherte Menge an Metadaten kann einem Gegner wertvolle Hinweise auf die Identität der Benutzer liefern.

Wenn wir uns Sorgen machen, dass unsere Kommunikation ausspioniert wird, könnten wir versucht sein, woanders nach einer sicheren Messaging-App zu suchen ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me