Har säker IM-app Surespot äventyrats av fedsna?

Surespot är en öppen källkodsäker meddelandenapp för Android och iOS. Noteras för den starka krypteringen den använder (56-bitars AES-GCM-kryptering med nycklar skapade med 521 bitars ECDH), stöd för långa meddelanden och självförstörande meddelandefunktion. Enbart Android-versionen har installerats 100 000 till 500 000 gånger. I vår sammanställning förra året med säkra alternativ till WhatsApp drog vi slutsatsen att,

"SureSpot stöder inte Perfect Forward Secrecy (även om nya nycklar kan genereras när som helst av de mer paranoida), och det finns en känd sårbarhet för MiTM-attacker, men totalt sett är det en mycket säker och lättanvänd app."

surespot

Appen uppnådde emellertid en oönskad notoritet när Storbritanniens Daily Mail

"Brittiska jihadi-brudar hålls på nätet med en telefonapp som drivs av extrema vänsteraktivister, kan Mail avslöja. Efter att de har tvättats hjärnan på Twitter, säger rekryterare från Islamiska staten de unga flickorna att kommunicera med dem med hjälp av ett meddelandeprogram som heter Surespot. '

Detta följdes i maj av en nyhetsartikel på Channel 4,

‘ISIS-militanter och supportrar flockar till krypterade meddelandeappar, vilket utgör en utmaning för säkerhetstjänsterna, som säger att de förlorar förmågan att fånga upp data från terrorist misstänkta. En utredning av Channel 4 News kan avslöja omfattningen av användningen av en sådan krypterad messenger-app, som fungerar som WhatsApp eller Facebook Messenger men med mycket höga säkerhetsnivåer. Minst 115 ISIS-kopplade personer verkar ha använt den populära appen Surespot under det senaste halvåret, konstaterade utredningen. '

Det är därför inte överraskande att appen kan ha väckt underrättelseorganisationernas intresse, men det verkar som om saker och ting kan ha gått vidare ...

Surespots moderföretag 2fours drevs av Cherie Berdovich och Adam Patacchiola (även om Daily Mail rapporterar att Berdovich lämnade "förra sommaren.") Till skillnad från vissa säkerhetsproduktwebbplatser, driver Surespot inte en befästningskanarie, så George Maschke, en tidigare armé underrättelsesperson och Surespot-användare, kontaktade Berdovich och Patacchiola i maj förra året med de strömmande frågorna,

‘1 - Har du någonsin fått ett nationellt säkerhetsbrev?

2 - Har du någonsin fått ett domstolsbeslut för information?

3 - Har du någonsin fått någon annan begäran om att samarbeta med en myndighet? '

Han fick svar från Berdovich och sa,

"[A] svaret på alla frågor är nej."

Maschke skrev igen i november 2014 och ställde samma tre frågor och fick ett svar från Patacchiola (som programmerade appen),

"1 och 2, fortfarande nej, 3 har vi fått ett e-postmeddelande som frågar oss hur vi skickar in en stämning till oss som vi inte har fått ännu."

Tydligt fascinerat av detta svar mailade Maschke igen nästa dag för att fråga "vilken byrå eller organisation som söker information om hur man ska lämna in en stämning." Ganska oroande fick han inget svar. Han fick inte heller något svar när han skickade samma frågor i april 2015, och när han skickade följande frågor i maj,

  1. ‘Har 2fours fått något statligt krav på information om någon av dess användare?
  2. Har 2fours fått något statligt krav på att modifiera surespot-klientprogramvaran?
  3. Har 2fours fått något statligt krav på att modifiera surespot-serverprogramvaran? Har 2fours fått något annat statligt krav för att underlätta elektronisk avlyssning av något slag?
  4. Om svaret på någon av ovanstående frågor är ja, kan du utarbeta? '

Ytterligare försök att kontakta Berdovich och Patacchiola via Surespot-appen mötte också inget svar.

I juni berättade ordförande Michael McCaul till ett utskott för hemmasäkerhetsförhandling som hörde det,

"Mobilappar som Kik och WhatsApp såväl som data-förstörande appar som Wickr och Surespot tillåter extremister att kommunicera utanför uppfattningen om brottsbekämpning."

Senare under förhandlingen, när han frågades om FBI pressade på för att krypta besegra "bakdörrar" i programvara som Surespot, sa FBI: s assistentdirektör för bekämpning av terrorism, Michael Steinbach, "Nej", men,

‘Jag pratar om att gå till företagen som då kan hjälpa oss att få den okrypterade informationen. Och tillskrivningsstycket - det är viktigt att förstå att beroende på vilken teknik det gäller, detta - och detta kräver, helt uppriktigt, en teknikdiskussion - finns det symboler som används som inte tillåter attribut. Så det är inte så enkelt som att bara använda andra tekniker eller attribut. Ibland är den attributionen inte där. '

Hmm… detta låter misstänksamt som om Surespot, precis som Ladar Levison från Lavabit, har utfärdat en order enligt Patriot Act och krävt att det samarbetar med myndigheterna, samtidigt som man lägger till en gag order för att förhindra ägarna, på smärta från fängelse, från varnar sina användare om faktumet.

Medan Herr Levison kunde stänga av sitt företag och därmed skydda sina kunder, skulle detta alternativ troligen inte ha varit tillgängligt för Patacchiola (Levison hotades själv av att gripas för sina handlingar.)

Naturligtvis är alla sådana spekulationer från vår sida helt enkelt det - ren spekulation.

I teorin skulle det faktum att Surespot använder en-till-än-kryptering göra det omöjligt att spionera på användarnas kommunikation, även om 3fours verkligen har äventyrats. Appens misslyckande med att implementera Perfect Forward Secrecy kan dock ge ett sätt att dekryptera användarnas meddelanden, och mängden metadata lagrade i Surespot-databasen kan ge en motståndare värdefulla ledtrådar om användarnas identitet.

Om vi ​​var oroliga för att vår kommunikation skulle spioneras, kan vi frestas att leta någon annanstans efter en säker meddelanden-app ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me