Sicherheitsforscher haben den Code der Android- und iOS-App des verschlüsselnden Messengers Threema untersucht – und sind auf keine kritischen Lücken gestoßen.

Der Instant-Messenger Threema verschickt Nachrichten Ende-zu-Ende verschlüsselt und schreibt sich Datenschutz und Privatsphäre auf die Fahne. Nun haben Sicherheitsforscher der FH Münster den Source-Code der Android- und iOS-App und die Backuplösung Threema Safe auf Sicherheitslücken untersucht.

Eigenen Angaben zufolge hat die Untersuchung keine kritischen Sicherheitslücken zutage gefördert. Die Sicherheitsforscher stießen aber auf zwei mit dem Bedrohungsgrad „mittel“ eingestufte Schwachstellen. Auch einige mit der Einschätzung „niedrig“ versehene Lücken kamen ans Licht. Diese haben die Entwickler in den Versionen 3.62 (Android) und 4.1 (iOS) geschlossen.

Nutzen Angreifer diese Schwachstellen aus, könnten sie mit etwas Aufwand – und wenn ein Opfer mitspielt – den privaten Schlüssel an einen anderen Threema-Nutzer senden. Außerdem wäre es vorstellbar, dass ein Angreifer Teile von Passwörtern aus einer Logdatei der Android-App von Threema Safe auslesen könnte.

Insgesamt attestieren die Sicherheitsforscher den Threema-Entwicklern, dass sie die Themen Sicherheits und Datenschutz sehr ernst nehmen: Alle Sicherheits- und Datenschutzmechanismen seien intakt und wirksam und der Messenger verhält sich so, wie in der öffentlichen Dokumentationen beschrieben. Natürlich ist eine Prüfung nicht allumfassend und später könnten durchaus weitere Sicherheitsrisiken auftauchen.