Er sikker IM-app Surespot kompromitteret af feds?

Surespot er en open source sikker meddelelsesapp til Android og iOS. Er bemærkelsesværdig for den stærke kryptering, den bruger (56-bit AES-GCM-kryptering ved hjælp af nøgler oprettet med 521 bit ECDH), understøttelse af lange meddelelser og selvdestruerende messaging-evne. Android-versionen alene er blevet installeret 100.000 til 500.000 gange. I vores sidste år med sikre alternativer til WhatsApp, konkluderede vi det,

'SureSpot understøtter ikke Perfect Forward Secrecy (selvom nye nøgler kan genereres når som helst af det mere paranoide), og der er en kendt sårbarhed over for MiTM-angreb, men generelt er det en meget sikker og nem at bruge app.'

surespot

Appen opnåede dog en uvelkommen berygtethed, når Storbritanniens Daily Mail

‘Britiske jihadi-brude plejes online ved hjælp af en telefon-app, der drives af ekstreme venstreorienterede aktivister, kan Mail afsløre. Efter at de er blevet hjernevasket på Twitter, fortæller rekrutterere fra Den Islamiske Stat de unge piger om at kommunikere med dem ved hjælp af et messaging-program kaldet Surespot. '

Dette blev fulgt i maj af en nyhed om Channel 4,

‘ISIS-militanter og tilhængere strømmer til krypterede messaging-apps, der udgør en udfordring for sikkerhedstjenester, der siger, at de mister evnen til at aflytte data fra mistænkte terrorister. En undersøgelse fra Channel 4 News kan afsløre omfanget af brugen af ​​en sådan krypteret messenger-app, der fungerer som WhatsApp eller Facebook Messenger, men med meget høje sikkerhedsniveauer. Mindst 115 personer, der er forbundet med ISIS, ser ud til at have brugt den populære app Surespot i de sidste seks måneder, fandt undersøgelsen. '

Det er derfor ikke overraskende, at appen måske har tiltrukket sig efterretningsorganisationers interesse, men det ser ud til, at tingene måske er kommet videre…

Surespots moderselskab 2fours blev drevet af Cherie Berdovich og Adam Patacchiola (selvom Daily Mail rapporterer, at Berdovich forlod 'sidste sommer.') I modsætning til nogle sikkerhedsproduktwebsteder, kører Surespot ikke en ordningskanarie, så George Maschke, en tidligere hærens efterretningsofficer og Surespot-bruger, kontaktede Berdovich og Patacchiola i maj sidste år med de flydende spørgsmål,

‘1 - Har du nogensinde modtaget et national sikkerhedsbrev?

2 - Har du nogensinde modtaget en retsafgørelse om information?

3 - Har du nogensinde modtaget nogen anden anmodning om at samarbejde med et regeringsorgan? '

Han modtog svar fra Berdovich og sagde,

'[A] svaret på alle spørgsmål er nej.'

Maschke skrev igen i november 2014 med at stille de samme tre spørgsmål og modtog et svar fra Patacchiola (som programmerede appen),

'1 og 2, stadig nr. 3, vi har modtaget en e-mail med spørgsmålet om, hvordan vi sender en stævning til os, som vi ikke har modtaget endnu.'

Tydeligt fascineret af dette svar sendte Maschke e-mail igen den næste dag for at spørge ‘hvilket agentur eller organisation, der søger detaljer om, hvordan man indsender en stævning.’ Snarere foruroligende modtog han intet svar. Han modtog heller ikke noget svar, da han sendte de samme spørgsmål i april 2015, og da han sendte følgende spørgsmål i maj,

  1. ‘Har 2fours modtaget enhver statlig efterspørgsel efter oplysninger om nogen af ​​dens brugere?
  2. Har 2fours modtaget ethvert statligt krav om at ændre surespot-klientsoftwaren?
  3. Har 2fours modtaget noget statligt krav om at ændre surespot-serversoftwaren? Har 2fours modtaget noget andet statligt krav for at lette elektronisk aflytning af enhver art?
  4. Hvis svaret på et af ovenstående spørgsmål er ja, kan du uddybe? '

Yderligere forsøg på at kontakte Berdovich og Patacchiola via Surespot-appen mødte heller ikke noget svar.

I juni fortalte formand Michael McCaul et udvalg for Homeland Security, der hørte dette,

'Mobile apps som Kik og WhatsApp såvel som ødelæggende apps som Wickr og Surespot tillader ekstremister at kommunikere uden for synet på retshåndhævelse.'

Senere under høringen, da han blev spurgt, om FBI pressede på for at krypte besejrende 'bagdøre' i software som Surespot, sagde FBI-assisterende direktør for bekæmpelse af terrorisme, Michael Steinbach, 'Nej', men,

‘Jeg taler om at gå til de virksomheder, som derefter kunne hjælpe os med at få de ukrypterede oplysninger. Og tilskrivningsstykket - det er vigtigt at forstå, at afhængigt af den involverede teknologi dette - og dette kræver helt ærligt en teknologidiskussion - der er tegn, der bruges, der ikke giver mulighed for attribution. Så det er ikke så simpelt som bare at bruge andre teknikker eller attribution. Nogle gange er denne attribution ikke der. '

Hmm… dette lyder mistænkeligt, som om Surespot, ligesom Ladar Levison fra Lavabit, har fået udstedt en warrance i henhold til Patriot Act og krævede, at den samarbejder med myndighederne, samtidig med at den tilføjede en gag-ordre for at forhindre ejerne på smerter fra fængsel fra advarer deres brugere om det faktum.

Mens hr. Levison var i stand til at lukke sit firma og derved beskytte sine kunder, ville denne mulighed sandsynligvis ikke have været tilgængelig for Patacchiola (Levison blev selv truet med at arrestere for hans handlinger).

Naturligvis er enhver sådan spekulation fra vores side simpelthen det - ren spekulation.

I teorien skal det faktum, at Surespot bruger ende-til-ende-kryptering, gøre det umuligt at spionere på brugernes kommunikation, selvom 3fours faktisk er blevet kompromitteret. Appens manglende implementering af Perfect Forward Secrecy kan muligvis give en måde at dekryptere brugernes meddelelser, men mængden af ​​metadata, der er gemt i Surespot-databasen, kunne give en modstander med værdifulde ledetråde om brugernes identiteter.

Hvis vi var bekymrede for, at vores kommunikationer blev spioneret, kan vi blive fristet til at lede andetsteds efter en sikker meddelelsesapp ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me