Is de beveiligde IM-app Surespot aangetast door de FBI?

Surespot is een open source beveiligde berichten-app voor Android en iOS. Is opmerkelijk voor de sterke codering die het gebruikt (56-bit AES-GCM-codering met behulp van sleutels die zijn gemaakt met 521 bit ECDH), ondersteuning voor lange berichten en zelfvernietigende berichten. Alleen de Android-versie is 100.000 tot 500.000 keer geïnstalleerd. In onze samenvatting van vorig jaar van veilige alternatieven voor WhatsApp, hebben we dat geconcludeerd,

‘SureSpot ondersteunt geen Perfect Forward Secrecy (hoewel nieuwe sleutels altijd kunnen worden gegenereerd door de meer paranoïde), en er is een bekende kwetsbaarheid voor MiTM-aanvallen, maar over het algemeen is het een zeer veilige en gemakkelijk te gebruiken app.’

surespot

De app behaalde echter enige ongewenste bekendheid tijdens de Daily Mail in het VK

‘Britse jihadistische bruiden worden online verzorgd met behulp van een telefoon-app die wordt beheerd door extreem-linkse activisten, kan de Mail onthullen. Nadat ze zijn gehersenspoeld op Twitter, vertellen islamitische staatswervers de jonge meisjes om met hen te communiceren via een berichtenprogramma genaamd Surespot. '

Dit werd in mei gevolgd door een Channel 4-nieuwsitem,

‘ISIS-militanten en supporters komen massaal naar versleutelde berichten-apps, wat een uitdaging vormt voor beveiligingsdiensten, die zeggen dat ze het vermogen verliezen om gegevens van verdachten van terreur te onderscheppen. Een onderzoek door Channel 4 News kan de omvang van het gebruik van een dergelijke gecodeerde messenger-app onthullen, die werkt zoals WhatsApp of Facebook Messenger, maar met zeer hoge beveiligingsniveaus. Uit het onderzoek bleek dat minstens 115 ISIS-gekoppelde mensen de populaire app Surespot de afgelopen zes maanden hebben gebruikt. '

Het is daarom niet verwonderlijk dat de app de belangstelling van inlichtingenorganisaties heeft getrokken, maar het lijkt erop dat dingen verder zijn gegaan ...

Surespot's moederbedrijf 2fours werd gerund door Cherie Berdovich en Adam Patacchiola (hoewel de Daily Mail meldt dat Berdovich 'afgelopen zomer' heeft verlaten.) In tegenstelling tot sommige websites met beveiligingsproducten, heeft Surespot geen kanarie, dus George Maschke, een voormalige inlichtingenofficier van het leger en Surespot-gebruiker hebben in mei vorig jaar contact opgenomen met Berdovich en Patacchiola met de vloeiende vragen,

‘1 - Heb je ooit een Nationale Veiligheidsbrief ontvangen?

2 - Heb je ooit een rechterlijk bevel ontvangen voor informatie?

3 - Heb je ooit een ander verzoek ontvangen om samen te werken met een overheidsinstantie? '

Hij ontving een antwoord van Berdovich met de uitspraak,

‘[Het antwoord op alle vragen is nee.’

Maschke schreef opnieuw in november 2014 met dezelfde drie vragen en ontving een antwoord van Patacchiola (die de app programmeerde),

'1 en 2, nog steeds nee, 3 we hebben een e-mail ontvangen met de vraag hoe we een dagvaarding kunnen indienen die we nog niet hebben ontvangen.'

Duidelijk geïntrigeerd door dit antwoord, e-mailde Maschke de volgende dag opnieuw om te vragen ‘welk bureau of organisatie informatie zoekt over het indienen van een dagvaarding.’ In plaats daarvan verontrustend ontving hij geen antwoord. Hij ontving ook geen antwoord toen hij in april 2015 dezelfde vragen stelde en in mei de volgende vragen,

  1. ‘Heeft 2fours enige overheidsaanvraag ontvangen voor informatie over een van haar gebruikers?
  2. Heeft 2fours enige overheidsaanvraag ontvangen om de surespot-clientsoftware te wijzigen?
  3. Heeft 2fours enige overheidsaanvraag ontvangen om de surespot-serversoftware te wijzigen? Heeft 2fours enige andere overheidsaanvraag ontvangen om het elektronisch afluisteren van welke aard dan ook te vergemakkelijken?
  4. Als het antwoord op een van de bovenstaande vragen ja is, kun je dat dan toelichten? '

Verdere pogingen om via de Surespot-app contact op te nemen met Berdovich en Patacchiola leverden ook geen reactie op.

In juni vertelde voorzitter Michael McCaul een commissie voor binnenlandse veiligheid die dat hoorde,

‘Mobiele apps zoals Kik en WhatsApp en datavernietigende apps zoals Wickr en Surespot zorgen ervoor dat extremisten kunnen communiceren buiten het zicht van wetshandhavers.’

Later op de hoorzitting, toen hem werd gevraagd of de FBI drong aan op encryptie-versloeiende ‘achterdeuren’ in software zoals Surespot, zei FBI assistent-directeur voor terrorismebestrijding, Michael Steinbach, ‘Nee’, maar,

‘Ik heb het over het gaan naar de bedrijven die ons dan kunnen helpen de niet-gecodeerde informatie te krijgen. En het toeschrijvingsstuk - het is belangrijk om te begrijpen dat, afhankelijk van de betrokken technologie, dit - en dit vereist, eerlijk gezegd, een technologiediscussie - er tokens worden gebruikt die geen toeschrijving toestaan. Het is dus niet zo eenvoudig als alleen andere technieken of toeschrijving gebruiken. Soms is die toeschrijving er niet. '

Hmm ... dit klinkt verdacht alsof, net als Ladar Levison van Lavabit, Surespot een bevel is uitgevaardigd op grond van de Patriot Act, waarin wordt geëist dat het samenwerkt met de autoriteiten, terwijl ook een gag wordt toegevoegd om te voorkomen dat de eigenaren, op straffe van gevangenisstraf, hun gebruikers hiervan op de hoogte stellen.

Hoewel de heer Levison in staat was zijn bedrijf te sluiten en daarmee zijn klanten te beschermen, zou deze optie waarschijnlijk niet beschikbaar zijn geweest voor Patacchiola (Levison werd zelf bedreigd met arrestatie voor zijn acties.)

Natuurlijk is zo'n speculatie van onze kant gewoon dat - pure speculatie.

In theorie zou het feit dat Surespot end-to-end encryptie gebruikt het onmogelijk maken om de communicatie van gebruikers te bespioneren, zelfs als 3fours inderdaad is aangetast. Het falen van de app om Perfect Forward Secrecy te implementeren, kan echter een manier zijn om berichten van gebruikers te decoderen, en de hoeveelheid metagegevens die zijn opgeslagen in de Surespot-database kan een tegenstander waardevolle aanwijzingen geven over de identiteit van gebruikers.

Als we ons zorgen maken dat onze communicatie wordt bespioneerd, kunnen we in de verleiding komen om ergens anders op zoek te gaan naar een beveiligde berichten-app ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me