هل تعرض تطبيق IM Surespot للخطر من قبل الأجهزة الفيدرالية؟

Surespot هو تطبيق مراسلة آمن مفتوح المصدر لنظامي Android و iOS. يُعتبر التشفير القوي الذي يستخدمه (تشفير AES-GCM 56 بت باستخدام مفاتيح تم إنشاؤها باستخدام ECDH 521 بت) ، ودعم الرسائل الطويلة ، وإمكانية المراسلة الذاتية التدمير. تم تثبيت إصدار Android وحده من 100000 إلى 500000 مرة. في تقريرنا العام الماضي عن البدائل الآمنة لتطبيق WhatsApp ، خلصنا إلى ذلك,


"SureSpot لا يدعم Perfect Forward Secrecy (على الرغم من أنه يمكن إنشاء مفاتيح جديدة في أي وقت من خلال المزيد من الاضطهاد بجنون العظمة) ، وهناك ثغرة أمنية معروفة لهجمات MiTM ، لكن بشكل عام فهو تطبيق آمن للغاية وسهل الاستخدام."

surespot

حقق التطبيق بعض السمعة غير المرغوب فيها ، ولكن ، في المملكة المتحدة ديلي ميل

g يتم إعداد عرائس الجهاديين البريطانيين عبر الإنترنت باستخدام تطبيق هاتف يديره نشطاء يساريون متطرفون ، يمكن للبريد أن يكشف. بعد غسل دماغهم على Twitter ، يخبر مجندو الدولة الإسلامية الفتيات الصغيرات بالتواصل معهم باستخدام برنامج مراسلة يسمى Surespot.

وتبع ذلك في شهر أيار / مايو عنصر أخبار القناة 4,

militants يتجه متشددو داعش ومؤيدوهم إلى تطبيقات الرسائل المشفرة ، مما يشكل تحديًا لأجهزة الأمن ، الذين يقولون إنهم يفقدون القدرة على اعتراض البيانات من المشتبه في أنهم إرهابيون. يمكن أن يكشف التحقيق الذي أجرته القناة الرابعة للأخبار عن نطاق استخدام أحد تطبيقات messenger المشفرة التي تعمل مثل WhatsApp أو Facebook Messenger ولكن مع مستويات أمان عالية جدًا. وجد التحقيق أن ما لا يقل عن 115 شخصًا مرتبطًا بـ ISIS قد استخدموا التطبيق الشعبي Surespot في الأشهر الستة الماضية ، وفقًا لما جاء في التحقيق.

لذلك ، ليس من المستغرب أن يكون التطبيق قد اجتذب اهتمام منظمات الاستخبارات ، ولكن يبدو أن الأمور قد تقدمت أكثر ...

كانت الشركة الأم لـ Surespot 2fours يديرها Cherie Berdovich و Adam Patacchiola (على الرغم من أن الديلي ميل ذكرت أن Berdovich غادر "الصيف الماضي.") على عكس بعض مواقع المنتجات الأمنية ، Surespot لا يدير الكناري ، وبالتالي جورج Maschke ، ضابط مخابرات سابق بالجيش و Surespot المستخدم ، اتصل بيردوفيتش و Patacchiola في مايو من العام الماضي مع الأسئلة المتدفقة,

‘1 - هل سبق لك أن تلقيت خطاب الأمن القومي?

2 - هل سبق لك أن حصلت على أمر من المحكمة للحصول على معلومات?

3 - هل تلقيت أي طلب آخر للتعاون مع وكالة حكومية؟

حصل على رد من بيردوفيتش قائلا,

"الإجابة على جميع الأسئلة هي لا".

كتب Maschke مرة أخرى في نوفمبر 2014 يطرح الأسئلة الثلاثة نفسها ، وتلقى ردًا من Patacchiola (الذي قام برمجية التطبيق),

"1 و 2 ، لا يزال ، 3 تلقينا بريدًا إلكترونيًا يسألنا عن كيفية إرسال استدعاء إلينا لم نتلقاه بعد."

مفتونًا بوضوح بهذه الإجابة ، أرسل Maschke رسالة إلكترونية مرة أخرى في اليوم التالي لسؤال "ما هي الوكالة أو المؤسسة التي تسعى للحصول على تفاصيل حول كيفية تقديم أمر استدعاء." وبدلاً من القلق ، لم يتلق أي رد. كما أنه لم يتلق أي رد عندما أرسل نفس الأسئلة في أبريل 2015 ، وعندما أرسل الأسئلة التالية في مايو,

  1. ‘لديه 2fours تلقى أي طلب حكومي للحصول على معلومات حول أي من مستخدميها?
  2. تلقى 2fours أي طلب حكومي لتعديل برنامج العميل surespot?
  3. هل تلقى 2fours أي طلب حكومي لتعديل برنامج خادم surespot؟ تلقى 2 أربع ساعات أي طلب حكومي آخر لتسهيل التنصت الإلكتروني من أي نوع?
  4. إذا كانت الإجابة على أي من الأسئلة أعلاه بنعم ، فهل يمكنك توضيح ذلك؟

واجتمعت أيضًا محاولات أخرى للاتصال بـ Berdovich و Patacchiola عبر تطبيق Surespot دون أي استجابة.

في يونيو ، أخبر رئيس مجلس الإدارة مايكل ماكول لجنة الأمن الداخلي بسماع ذلك,

"تتيح تطبيقات الهاتف المحمول مثل Kik و WhatsApp بالإضافة إلى تطبيقات تدمير البيانات مثل Wickr و Surespot للمتطرفين التواصل خارج نطاق تطبيق القانون".

في وقت لاحق من جلسة الاستماع ، عندما سئل عما إذا كان مكتب التحقيقات الفيدرالي يدفع باتجاه "الأبواب الخلفية" التي تهزم التشفير في برامج مثل Surespot ، قال مساعد مدير FBI لمكافحة الإرهاب ، مايكل شتاينباخ ، "لا ، ولكن,

‘أتحدث عن الذهاب إلى الشركات التي يمكنها بعد ذلك مساعدتنا في الحصول على المعلومات غير المشفرة. والجزء المتعلق بالإسناد - من المهم أن نفهم أن هذا - وهذا يتطلب ، بصراحة تامة ، مناقشة تقنية - هناك رموز مستخدمة لا تسمح بالإسناد. لذلك ليس بهذه البساطة مثل استخدام التقنيات الأخرى أو الإسناد. في بعض الأحيان لا يكون هذا الإسناد موجودًا.

هم ... هذا يبدو بشكل مثير للريبة كما لو أنه ، مثله مثل لادار ليفيسون من لافابيت ، تم إصدار Surespot أمرًا بموجب قانون باتريوت ، يطالبها بالتعاون مع السلطات ، مع إضافة أمر هفوة لمنع أصحابها من ألم السجن تنبيه مستخدميها إلى الحقيقة.

في حين أن السيد Levison كان قادرًا على إغلاق شركته وبالتالي حماية عملائه ، فمن المحتمل ألا يكون هذا الخيار متاحًا لـ Patacchiola (كان Levison نفسه مهددًا بالاعتقال بسبب أفعاله).

بطبيعة الحال ، فإن أي تكهنات من جانبنا هي ببساطة - مجرد تكهنات.

من الناحية النظرية ، فإن حقيقة أن Surespot يستخدم التشفير من طرف إلى طرف يجب أن يجعل من المستحيل التجسس على اتصالات المستخدمين ، حتى لو تم اختراق ثلاث نقاط بالفعل. قد يوفر فشل التطبيق في تطبيق Perfect Forward Secrecy وسيلة لفك تشفير رسائل المستخدمين ، ومع ذلك ، فإن كمية البيانات الوصفية المخزنة على قاعدة بيانات Surespot يمكن أن توفر خصما مع أدلة قيمة حول هويات المستخدمين.

إذا كنا قلقين بشأن اتصالاتنا التي يتم التجسس عليها ، فقد يغرينا البحث في مكان آخر عن تطبيق المراسلة الآمن ...

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me