Onko feds vaarantanut suojattua pikaviestintäsovellusta Surespotia?

Surespot on avoimen lähdekoodin suojattu viestintäsovellus Androidille ja iOS: lle. On huomattava käyttämässään vahvassa salauksessa (56-bittinen AES-GCM-salaus 521-bittisellä ECDH: lla luodulla avaimella), pitkien viestien tuki ja itsetuhoava viestintäominaisuus. Pelkästään Android-versio on asennettu 100 000 - 500 000 kertaa. Viime vuonna tekemämme turvallisten WhatsApp-vaihtoehtojen vaihtoehtomme päätelimme, että,

"SureSpot ei tue täydellistä eteenpäin suuntautuvaa salaisuutta (vaikka paranoisammatkin voivat luoda uusia avaimia milloin tahansa), ja MiTM-hyökkäyksille on tiedossa haavoittuvuus, mutta kaiken kaikkiaan se on erittäin turvallinen ja helppokäyttöinen sovellus."

surespot

Sovellus saavutti kuitenkin jonkin verran huonoa tunnetta, kun Ison-Britannian Daily Mail

'Brittiläisiä jihadi-morsiamenia hoidetaan verkossa ääri-vasemmiston aktivistien ylläpitämällä puhelinsovelluksella, Mail voi paljastaa. Kun he ovat aivopestyneet Twitterissä, islamilaisen valtion rekrytoijat käskevät nuoria tyttöjä kommunikoimaan heidän kanssaan Surespot-nimisen viestiohjelman avulla. "

Tätä seurasi toukokuussa Channel 4 -uutisaineisto,

'ISIS-puolustajat ja kannattajat parveilevat salattuihin viestisovelluksiin ja ovat haaste turvallisuuspalveluille. He sanovat menettävänsä kykynsä siepata terrorismista epäiltyjen tietoja. Channel 4 Newsin tutkimus voi paljastaa yhden tällaisen salatun messenger-sovelluksen käytön laajuuden, joka toimii kuten WhatsApp tai Facebook Messenger, mutta jolla on erittäin korkea tietoturva. Ainakin 115 ISIS-linkitettyä henkilöä näyttää käyttäneen suosittua Surespot-sovellusta viimeisen kuuden kuukauden aikana, tutkimus totesi.

Siksi ei ole yllättävää, että sovellus on saattanut herättää tiedustelupalvelun organisaatioiden kiinnostusta, mutta näyttää siltä, ​​että asiat ovat saattaneet edistyä edelleen ...

Surespotin emoyhtiö 2foursia johtivat Cherie Berdovich ja Adam Patacchiola (vaikka Daily Mail raportoi, että Berdovich lähti 'viime kesänä'). Toisin kuin eräät tietoturvatuotteiden verkkosivustot, Surespot ei ylläpitä optiokanaria, joten entinen armeijan tiedustelupalvelin George Maschke ja Surespot-käyttäjä, ottivat yhteyttä Berdovichiin ja Patacchiolaan viime vuoden toukokuussa virtaavien kysymysten kanssa,

'1 - Oletko koskaan saanut kansallisen turvallisuuden kirjeen?

2 - Oletko koskaan saanut oikeuden päätöstä tiedoksi?

3 - Oletko koskaan saanut mitään muuta yhteistyöpyyntöä valtion viraston kanssa? "

Hän sai vastauksen Berdovichilta sanomalla,

"Kaikille kysymyksille vastaus on ei."

Maschke kirjoitti uudelleen marraskuussa 2014 esittämällä samat kolme kysymystä ja sai vastauksen Patacchiolalta (joka ohjelmoi sovelluksen),

'1 ja 2, silti ei, 3, olemme vastaanottaneet sähköpostin, jossa kysytään, miten lähettää meille oikeudenkäynti, jota emme ole vielä saaneet.'

Maschke, selvästi kiinnostuneena tästä vastauksesta, lähetti seuraavana päivänä uudestaan ​​sähköpostin kysyäkseen "mikä virasto tai organisaatio etsii yksityiskohtia oikeudenkäynnin toimittamisesta". Pikemminkin huolestuttavaa, ettei hän saanut vastausta. Hän ei saanut myöskään vastausta lähettäessään samat kysymykset huhtikuussa 2015 ja kun hän lähetti seuraavat kysymykset toukokuussa,

  1. 'Onko 2fours saanut mitään hallitusten vaatimuksia käyttäjistään koskevista tiedoista?
  2. Onko 2fours saanut mitään valtion vaatimuksia surespot-asiakasohjelmiston muuttamisesta?
  3. Onko 2fours vastaanottanut valtion vaatimusta surespot-palvelinohjelmiston muuttamisesta? Onko 2 kertaa saanut mitään muuta valtion vaatimusta kaikenlaisen elektronisen salakuuntelun helpottamiseksi?
  4. Jos vastaus mihin tahansa yllä olevista kysymyksistä on myöntävä, voitteko kertoa tarkemmin? '

Muut yritykset ottaa yhteyttä Berdovichiin ja Patacchiolaan Surespot-sovelluksen kautta eivät myöskään vastanneet.

Puheenjohtaja Michael McCaul kertoi kesäkuussa kotimaan turvallisuuskomitealle kuulevansa tämän,

"Mobiilisovellukset, kuten Kik ja WhatsApp, sekä tietoja tuhoavat sovellukset, kuten Wickr ja Surespot, antavat ääriliikkeiden kommunikoida lainvalvonnan ulkopuolella."

Myöhemmin kuullessani, kun FBI: ltä vaadittiin salauksen häviäviä "takaovia" ohjelmistoissa, kuten Surespot, FBI: n apulaisjohtaja terrorismin torjunnassa Michael Steinbach sanoi "ei", mutta,

'Puhun menemästä yrityksiin, jotka voivat sitten auttaa meitä saamaan salaamattoman tiedon. Ja nimityskappale - on tärkeää ymmärtää, että kyseessä olevasta tekniikasta riippuen tämä - ja tämä vaatii rehellisesti sanottuna teknologiakeskustelua - käytetään merkkejä, jotka eivät salli määritystä. Joten se ei ole aivan yhtä yksinkertainen kuin vain käyttää muita tekniikoita tai määrityksiä. Joskus kyseistä määritystä ei ole. "

Hmm ... tämä kuulostaa epäilyttävältä, jos Surespotille, kuten Lavabitin Ladar Levisonille, on annettu patriot-lain nojalla määräysmääräys, jossa vaaditaan sen toimimaan yhteistyössä viranomaisten kanssa ja lisäämällä samalla gag-määräys estääkseen omistajia vankilan tuskissa varoittaa käyttäjiä tosiasiasta.

Vaikka Levison pystyi sulkemaan yrityksensä ja siten suojelemaan asiakkaitaan, Patacchiola ei todennäköisesti olisi voinut käyttää tätä vaihtoehtoa (Levisonia uhkasi itse pidättää toimistaan.)

Tietysti kaikki tällainen spekulointi meidän puoleltamme on yksinkertaisesti sitä - puhdasta spekulointia.

Teoreettisesti sen tosiasian, että Surespot käyttää päästä päähän -salausta, pitäisi tehdä mahdotonta vakoilla käyttäjien viestintää, vaikka 3-puolinen olisi todellakin vaarannettu. Sovelluksen epäonnistuminen täydellisen eteenpäin-salaisuuden toteuttamisessa saattaa kuitenkin tarjota tavan salata käyttäjien viestit, ja Surespot-tietokantaan tallennettujen metatietojen määrä voisi antaa vastustajalle arvokkaita vihjeitä käyttäjien henkilöllisyydestä..

Jos olisimme huolissamme siitä, että viestintäämme vakoillaan, saatamme olla houkutus etsiä muualta suojattua viestisovellusta…

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me