L’app di sicurezza IM Surespot è stata compromessa dai federali?

Surespot è un'app di messaggistica sicura open source per Android e iOS. È notevole per la crittografia avanzata che utilizza (crittografia AES-GCM a 56 bit utilizzando chiavi create con ECDH a 521 bit), supporto per messaggi lunghi e funzionalità di messaggistica autodistruggente. La sola versione di Android è stata installata da 100.000 a 500.000 volte. Nel nostro riepilogo dell'anno scorso di alternative sicure a WhatsApp, lo abbiamo concluso,

"SureSpot non supporta Perfect Forward Secrecy (anche se i più paranoici possono generare nuove chiavi in ​​qualsiasi momento) e esiste una vulnerabilità nota agli attacchi MiTM, ma nel complesso è un'app molto sicura e facile da usare."

SureSpot

L'app ha raggiunto una notorietà sgradita, tuttavia, quando il Daily Mail del Regno Unito

"Le spose britanniche di jihad sono preparate online usando un'app telefonica gestita da attivisti di estrema sinistra, lo rivela Mail. Dopo aver subito il lavaggio del cervello su Twitter, i reclutatori dello Stato Islamico dicono alle ragazze di comunicare con loro usando un programma di messaggistica chiamato Surespot. "

Questo è stato seguito a maggio da un articolo di Channel 4,

"I militanti e i sostenitori dell'ISIS si stanno riversando su app di messaggistica crittografate, ponendo una sfida ai servizi di sicurezza, che affermano di perdere la capacità di intercettare i dati dai sospetti terroristi. Un'indagine di Channel 4 News può rivelare la portata dell'uso di una di queste app di messaggistica crittografata, che funziona come WhatsApp o Facebook Messenger ma con livelli di sicurezza molto elevati. Almeno 115 persone collegate all'ISIS sembrano aver usato l'app popolare Surespot negli ultimi sei mesi, secondo le indagini. "

Non sorprende, quindi, che l'app abbia attirato l'interesse delle organizzazioni di intelligence, ma sembra che le cose potrebbero essere progredite ulteriormente ...

La società madre di Surespot 2fours era gestita da Cherie Berdovich e Adam Patacchiola (anche se il Daily Mail riporta che Berdovich ha lasciato "la scorsa estate"). A differenza di alcuni siti Web di prodotti di sicurezza, Surespot non ha un mandato di garanzia, quindi George Maschke, un ex ufficiale dell'intelligence dell'esercito e l'utente di Surespot, ha contattato Berdovich e Patacchiola a maggio dell'anno scorso con domande fluide,

"1 - Hai mai ricevuto una lettera di sicurezza nazionale?

2 - Hai mai ricevuto un ordine del tribunale per informazioni?

3 - Hai mai ricevuto altre richieste di collaborazione con un'agenzia governativa? "

Ha ricevuto una risposta da Berdovich dicendo,

"[La risposta a] a tutte le domande è no."

Maschke ha scritto di nuovo a novembre 2014 ponendo le stesse tre domande e ha ricevuto una risposta da Patacchiola (che ha programmato l'app),

"1 e 2, ancora no, 3 abbiamo ricevuto un'email che ci chiede come inviarci una citazione che non abbiamo ancora ricevuto."

Chiaramente incuriosito da questa risposta, Maschke inviò nuovamente un'email il giorno successivo per chiedere "quale agenzia o organizzazione sta cercando i dettagli su come inviare una citazione." Piuttosto preoccupante, non ha ricevuto risposta. Inoltre non ha ricevuto risposta quando ha inviato le stesse domande nell'aprile 2015 e quando ha inviato le seguenti domande a maggio,

  1. 'Ha 2fours ricevuto richieste governative di informazioni su qualcuno dei suoi utenti?
  2. 2fours ha ricevuto richieste governative per modificare il software client di Surespot?
  3. 2fours ha ricevuto richieste governative per modificare il software del server surespot? 2fours ha ricevuto qualsiasi altra richiesta governativa per facilitare l'intercettazione elettronica di qualsiasi tipo?
  4. Se la risposta a una delle domande precedenti è sì, puoi approfondire? "

Anche altri tentativi di contattare Berdovich e Patacchiola tramite l'app Surespot non hanno avuto risposta.

A giugno, il presidente Michael McCaul ha detto a una commissione per la sicurezza interna sentirlo,

"Le app mobili come Kik e WhatsApp e le app che distruggono i dati come Wickr e Surespot stanno permettendo agli estremisti di comunicare al di fuori della visione delle forze dell'ordine."

Più tardi, quando gli fu chiesto se l'FBI stesse spingendo per "backdoor" che sconfiggevano la crittografia in software come Surespot, Michael Steinbach, vicedirettore dell'FBI, Michael Steinbach, disse "No", ma,

'Sto parlando di andare alle aziende che potrebbero aiutarci a ottenere informazioni non crittografate. E il pezzo di attribuzione - è importante capire che, a seconda della tecnologia coinvolta, questo - e questo richiede, francamente, una discussione tecnologica - ci sono token che vengono utilizzati che non consentono l'attribuzione. Quindi non è così semplice come usare semplicemente altre tecniche o attribuzioni. A volte quell'attribuzione non c'è. "

Hmm ... questo suona sospettosamente come se, proprio come Ladar Levison di Lavabit, a Surespot sia stato emesso un mandato ai sensi del Patriot Act, chiedendo che cooperasse con le autorità, aggiungendo anche un ordine di bavaglio per impedire ai proprietari, pena la prigione, di avvisando i loro utenti del fatto.

Mentre Levison era in grado di chiudere la sua compagnia e quindi proteggere i suoi clienti, questa opzione probabilmente non sarebbe stata disponibile per Patacchiola (Levison stesso era stato minacciato di arresto per le sue azioni.)

Naturalmente, qualsiasi speculazione del genere da parte nostra è semplicemente questa: pura speculazione.

In teoria, il fatto che Surespot utilizzi la crittografia end-to-end dovrebbe rendere impossibile spiare le comunicazioni degli utenti, anche se 3fours è stato effettivamente compromesso. L'incapacità dell'app di implementare Perfect Forward Secrecy potrebbe fornire un modo per decrittografare i messaggi degli utenti e la quantità di metadati archiviati nel database Surespot potrebbe fornire ad un avversario indizi preziosi sulle identità degli utenti.

Se fossimo preoccupati che le nostre comunicazioni venissero spiate, potremmo essere tentati di cercare altrove un'app di messaggistica sicura ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me