Data Security of Threema for Desktop
threema.ch
As highlighted by recent news stories and social media posts, the desktop apps of some messaging services are affected by a long-standing security issue. We’ve been asked whether Threema’s desktop client also suffers from this or any similar flaw. The short answer: No. Threema users don’t need to take any precautions and can continue to use the desktop app. The longer, more explanatory answer:

Threema ha deciso di pubblicare un post sul loro blog per spiegare che la loro applicazione, a differenza di Signal, non ha “quel” problema di cui si è parlato di recente anche sui su Feddit.

Personalmente trovo che, come spesso succede, le risposte e i post di Threema siano estremamente equilibrati. Per quanto mi riguarda mi piacerebbe molto usare Threema ma ci sono ancora meno persone di Signal e questo per un’applicazione di messaggistica è, purtroppo, un problema.

Traduzione del post:

Come evidenziato dalle recenti notizie e dai post sui social media, le app desktop di alcuni servizi di messaggistica sono interessate da un problema di sicurezza di lunga data. Ci è stato chiesto se anche il client desktop di Threema soffre di questo o di un difetto simile. La risposta breve: No. Gli utenti di Threema non devono prendere alcuna precauzione e possono continuare a utilizzare l’app desktop. La risposta più lunga e più esplicativa:

La sicurezza non finisce con la crittografia end-to-end

Quando si tratta della sicurezza dei servizi di messaggistica, la crittografia end-to-end è di gran lunga il fattore più importante. Tuttavia, non è l’unico. La sicurezza generale dipende anche dall’implementazione di varie caratteristiche individuali. In particolare, il client desktop svolge un ruolo cruciale in termini di sicurezza.

Contrariamente ai sistemi operativi mobili, in cui le app sono “ sandbox, ” non tutti i sistemi operativi desktop forniscono – e tanto meno applicano – questo meccanismo di sicurezza. In poche parole, sandboxing garantisce che i dati dell’app possano essere accessibili solo dall’app a cui appartengono i dati, non da qualsiasi altra app. Su Android e iOS, ad esempio, WhatsApp non può accedere ai dati Threema immediatamente (e viceversa).

Il problema

Quando Microsoft ha recentemente presentato Recall, gli esperti di sicurezza erano allarmati. Questo software basato su AI per Windows ha lo scopo di creare schermate di (quasi) qualsiasi attività utente, analizzarle e archiviare localmente i risultati per riferimento successivo. Una delle principali preoccupazioni era che gli attori della minaccia potevano usare un semplice malware per estrapolare i dati potenzialmente altamente sensibili accumulati da Recall.

Come evidenziato da notizie e post sui social media, i client desktop di alcuni servizi di messaggistica sono sensibili allo stesso vettore di attacco. Sono interessati i servizi le cui app desktop non crittografano i dati utente in primo luogo o memorizzano la chiave di decrittazione accanto ai dati crittografati in testo normale. In queste condizioni, qualcuno con accesso al file system può ottenere qualsiasi contenuto utente (messaggi, immagini, ecc.), e il malware potrebbe copiare l’intero contenuto (inclusa la password di decrittazione) nella posizione remota dell’avversario.

Perché Threema per desktop non è interessato

Nella versione 1 dell’app desktop di Threema, non ci sono mai contenuti salvati su disco (e le chiavi di sessione persistenti sono crittografate con una chiave derivata dalla password utente). Pertanto, anche se un attore minacciaso riesce ad accedere al file system, non ha modo di accedere a nessuno dei contenuti Threema poiché non c’è semplicemente nulla.

La versione 2 dell’app desktop di Threema si basa su un’architettura completamente nuova. Offre supporto multi-dispositivo ed è attualmente disponibile come beta per gli utenti dell’app mobile iOS.

In questa nuova versione, tutto il contenuto salvato su disco (ad es. Messaggi, file / media, contatti, materiale chiave, nomi di file, ecc.) è crittografato con una chiave derivata dalla password utente. Questa è una password che l’utente deve fornire per ogni sessione e che non è memorizzata in testo normale da nessuna parte. Pertanto, anche se un avversario riesce ad accedere al file system, non ha ancora modo di accedere a nessuno dei contenuti Threema del target perché è crittografato con una password nota solo all’utente.

Per ulteriori informazioni sulla sicurezza di Threema, fare riferimento alla nostra Pagina Sicurezza o, se sei tecnicamente portato, consulta il Whitepaper.