Vulnerabilità nel core crittografico di Threema, la società: “nessun impatto reale”. Cosa è successo?

Non è un segreto che il messenger svizzero Threema sia molto popolare e sia stato utilizzato principalmente per oltre 10 anni come alternativa sicura a WhatsApp. Inoltre questo post non intende in nessun modo cambiare questo concetto, semmai analizzare cosa l’azienda poteva fare in fase di sviluppo.

Dopo che Meta (ora riconosciuto come estremista nella Federazione Russa) ha acquisito WhatsApp e modificato la sua politica sulla privacy, l’attenzione degli utenti verso il messenger svizzero è aumentata notevolmente.

Un recente Paper di ricerca però, cerca le basi per una compromissione del core crittografico di Threema, la cui promessa di massima sicurezza è tuttora incomparabile in termini di livello con qualsiasi altro messenger concorrente.

Il messenger ha infatti ricevuto ampi riconoscimenti nel 2019 e l’amministrazione federale svizzera ne ha approvato l’uso anche per i contenuti classificati come “riservati”.

L’insicurezza della crittografia di Threema è una prima conclusione raggiunta da un gruppo di ricerca guidato dal professor Kenneth Paterson dell’ETH (Swiss Public Research University).

Come si è scoperto, ci sono difetti fondamentali nel concetto di crittografia Threema (https://breakingthe3ma.app/). Inoltre, i metodi di crittografia sono tecnologicamente indietro di diversi anni.

Un gruppo di ricercatori ha pubblicato una descrizione dettagliata di 7 vulnerabilità nei protocolli crittografici Threema.

Il loro sfruttamento potrebbe consentire agli aggressori di clonare account, leggere la corrispondenza, rubare chiavi private e contatti, nonché di riprodurre materiali compromettenti per ulteriori ricatti contro la vittima presa di mira.

Con solita precisione, Threema ha risposto immediatamente e ha rilasciato un nuovo protocollo chiamato Ibex che rende obsoleti e irrilevanti una serie di problemi evidenziati e risolve il resto dei difetti riscontrati in poche settimane (la vicenda è iniziata ad ottobre 2022.

Nel loro blog, gli sviluppatori hanno tuttavia sottovalutato il numero di bug individuati nello studio, spiegando che le vulnerabilità sono state trovate in un protocollo che Threema non utilizza più.

Inoltre, hanno notato che gli errori rilevati possono essere interessanti da un punto di vista teorico, nessuno di essi ha avuto un impatto significativo nel mondo reale. Sappiamo bene però che questa conclusione non annulla la loro esistenza.

Una sequenza di eventi, di questa vicenda, fa pensare che si siano accavallate diverse coincidenze, tuttavia non possiamo sapere al momento se gli sviluppatori di Threema, abbiano sviluppato Ibex (a fine 2022) effettivamente sulla base di questi risultati di ricerca, anche se la società sostiene che il proprio team già ci stava lavorando da un anno e mezzo. Non possiamo nemmeno escluderlo, come anche il fatto che alcune delle vulnerabilità che sono state scoperte, potrebbero essere state presenti in Threema già da molto tempo.

Il gruppo di ricerca evidenzia, tra le lezioni che si possono imparare da questa storia, la mancanza di un’esame al nucleo crittografico dell’applicazione.

“Tale analisi dovrebbe essere un requisito minimo per qualsiasi messenger sicuro, in particolare uno utilizzato in ambienti sensibili. Idealmente, qualsiasi applicazione che utilizza nuovi protocolli crittografici dovrebbe essere accompagnata da proprie analisi di sicurezza formali (sotto forma di prove di sicurezza) per fornire solide garanzie di sicurezza”.