セキュアなIMアプリSurespotは、フェデレーションによって侵害されていますか?

Surespotは、AndroidおよびiOS用のオープンソースのセキュアなメッセージングアプリです。使用する強力な暗号化(521ビットECDHで作成されたキーを使用した56ビットAES-GCM暗号化)、長いメッセージのサポート、および自己破壊メッセージング機能が注目に値します。 Androidバージョンのみが100,000〜500,000回インストールされています。昨年のWhatsAppのセキュアな代替案のまとめでは、,


「SureSpotはPerfect Forward Secrecyをサポートしていません(より偏執的な人がいつでも新しいキーを生成できます)。MiTM攻撃には既知の脆弱性がありますが、全体として非常に安全で使いやすいアプリです。」

シュアスポット

ただし、英国のDaily Mail

「英国のジハードの花嫁は、極端な左翼活動家によって実行されている電話アプリを使用してオンラインでグルーミングされている、とメールは明らかにすることができます。 Twitterで洗脳された後、イスラム国家の採用担当者は、若い女の子にSurespotと呼ばれるメッセージングプログラムを使用してコミュニケーションを取るように伝えます。

これに続いて、5月にチャンネル4のニュース項目が続きました,

「ISISの過激派とサポーターは、暗号化されたメッセージングアプリに群がっており、テロ容疑者からデータを傍受する能力を失いつつあると言うセキュリティサービスに課題を投げかけています。 Channel 4 Newsによる調査により、このような暗号化されたメッセンジャーアプリの使用規模が明らかになります。このアプリは、WhatsAppやFacebook Messengerのように機能しますが、非常に高いレベルのセキュリティを備えています。 ISISにリンクした少なくとも115人が過去6か月間に人気のあるアプリSurespotを使用したようです。

したがって、アプリがintelligence報機関の関心を集めたのは当然のことですが、事態はさらに進んだようです…

Surespotの親会社2foursは、Cherie BerdovichとAdam Patacchiolaによって運営されていました(Daily Mailの報告によると、Berdovichは「昨年の夏」を去ったと報告されています)。 Surespotユーザーは、昨年5月にBerdovichとPatacchiolaにフローに関する質問を連絡しました,

‘1 –国家安全保障の手紙を受け取ったことはありますか?

2 –情報に関する裁判所命令を受け取ったことはありますか?

3 –政府機関への協力を求める他のリクエストを受け取ったことはありますか?」

彼はベルドヴィッチから返事を受け取った,

「すべての質問に対する答えはノーです。」

Maschkeは2014年11月に再び同じ3つの質問を書いて、Patacchiola(アプリをプログラムした)から返事を受け取りました,

「1と2、まだありません。3まだ受け取っていない召喚状を提出する方法を尋ねるメールを受け取りました。」

この回答に明らかに興味をそそられたマシュケは、翌日、「召喚状を提出する方法の詳細を求めている機関や組織は何か」と尋ねるメールを再度送信しました。また、2015年4月に同じ質問を送信したとき、および5月に次の質問を送信したときも、彼は返信を受け取りませんでした。,

  1. 「2foursは、そのユーザーに関する情報に対する政府の要求を受けています。?
  2. 2foursは、surespotクライアントソフトウェアを変更する政府の要求を受けていますか?
  3. 2foursは、surespotサーバーソフトウェアを変更する政府の要求を受けていますか? 2foursは、あらゆる種類の電子盗聴を促進するために、他の政府の要求を受けていますか?
  4. 上記の質問のいずれかの答えが「はい」の場合、詳しく説明していただけますか?」

Surespotアプリを介してBerdovichとPatacchiolaに連絡しようとしても、応答はありませんでした。.

6月、Michael McCaul議長は国土安全保障委員会の聴聞会で次のように述べました。,

「KikやWhatsAppのようなモバイルアプリと、WickrやSurespotのようなデータを破壊するアプリにより、過激派は法執行機関の視野の外でコミュニケーションを取ることができます。」

後に聴聞会で、FBIがSurespotなどのソフトウェアで暗号化を破る「バックドア」を求めているかどうかを尋ねられたとき、FBIのテロ対策担当ディレクター、マイケルスタインバッハは「いいえ」と言いましたが、,

「私は、暗号化されていない情報を入手するのに役立つ企業に行くことについて話している。そして、帰属の部分–関与するテクノロジーに応じて、これは–率直に言って、テクノロジーの議論を必要とすることを理解することが重要です–帰属を許可しないトークンが使用されています。そのため、他の手法や属性を使用するほど単純ではありません。その帰属がそこにないこともあります。」

うーん、これはまるでLavabitのLadar Levisonのように、Surespotがパトリオット法に基づいて令状を発行したように聞こえます。ユーザーに事実を警告する.

レヴィソン氏は会社を閉鎖し、それによって顧客を保護することができましたが、このオプションはパタッキオラには利用できなかったでしょう(レヴィソン自身が彼の行動で逮捕されると脅かされました)。

もちろん、私たちの側のそのような投機は、単にそれです-純粋な投機.

理論的には、Surespotがエンドツーエンドの暗号化を使用しているという事実により、たとえ3foursが実際に侵害されたとしても、ユーザーの通信をスパイすることは不可能になります。ただし、アプリでPerfect Forward Secrecyを実装できない場合、ユーザーのメッセージを解読する方法が提供される可能性があります。また、Surespotデータベースに格納されているメタデータの量は、ユーザーのIDに関する貴重な手がかりを敵に提供する可能性があります.

私たちのコミュニケーションが見張られているのではないかと心配しているなら、安全なメッセージングアプリを探したいと思うかもしれません…

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me