Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
أخبار التقنية

يعتبر Messenger الذي يتم وصفه بأنه أفضل من Signal مليئًا بنقاط الضعف


GettyImages

اكتشف باحثون أكاديميون نقاط ضعف خطيرة في جوهر Threema ، وهو برنامج مراسلة فورية يقول مطوره ومقره سويسرا إنه يوفر مستوى من الأمان والخصوصية “لا يمكن لأي خدمة دردشة أخرى” تقديمه. على الرغم من الادعاءات القوية بشكل غير عادي واثنين من عمليات تدقيق الأمان المستقلة التي تلقاها Threema ، قال الباحثون إن العيوب تقوض تمامًا ضمانات السرية والمصادقة التي تشكل حجر الزاوية في أي برنامج يباع على أنه يوفر تشفيرًا من طرف إلى طرف ، وعادة ما يتم اختصاره إلى E2EE.

لدى Threema أكثر من 10 ملايين مستخدم ، من بينهم الحكومة السويسرية والجيش السويسري والمستشار الألماني أولاف شولتز وسياسيون آخرون في ذلك البلد. يعلن مطورو Threema أنه بديل أكثر أمانًا لبرنامج Meta WhatsApp messenger. إنه من بين أفضل تطبيقات Android لفئة الرسوم في سويسرا وألمانيا والنمسا وكندا وأستراليا. يستخدم التطبيق بروتوكول تشفير مصممًا خصيصًا بما يتعارض مع معايير التشفير المعمول بها.

العيوب السبع المميتة

أفاد باحثون من جامعة ETH للأبحاث ومقرها زيورخ يوم الاثنين أنهم وجدوا سبع نقاط ضعف في Threema تثير التساؤل بجدية عن المستوى الحقيقي للأمان الذي قدمه التطبيق على مر السنين. لا تتطلب اثنتان من الثغرات الأمنية وصولاً خاصًا إلى خادم أو تطبيق Threema لانتحال شخصية المستخدم بشكل مشفر. تتطلب ثلاث نقاط ضعف مهاجمًا للوصول إلى خادم Threema. يمكن استغلال الاثنين المتبقيين عندما يتمكن المهاجم من الوصول إلى هاتف غير مقفل ، مثل عند معبر حدودي.

رسم تخطيطي يوضح نماذج التهديد الثلاثة للهجوم: عندما يتمكن المهاجم من الوصول إلى (1) اتصال الشبكة ، (2) خوادم Threema ، و (3) الجهاز الضحية نفسه.
تكبير / رسم تخطيطي يوضح نماذج التهديد الثلاثة للهجوم: عندما يتمكن المهاجم من الوصول إلى (1) اتصال الشبكة ، (2) خوادم Threema ، و (3) الجهاز الضحية نفسه.

باترسون وآخرون

وكتب الباحثون: “في المجمل ، فإن هجماتنا تقوض بشكل خطير مزاعم ثريما الأمنية”. “يمكن التخفيف من جميع الهجمات ، ولكن في بعض الحالات ، هناك حاجة إلى إعادة تصميم رئيسية.”

تشمل نقاط الضعف السبع التي اكتشفها الباحثون ما يلي:

  1. فاعل خارجي بدون وصول خاص
    1. في حالة الكشف عن مفتاح سريع الزوال ولو مرة واحدة ، يمكن للمهاجم انتحال شخصية العميل إلى الخادم بشكل دائم ثم الحصول على جميع البيانات الوصفية في جميع رسائل E2EE. هذا عيب ملحوظ لأن المفاتيح المؤقتة يجب ألا تكون قادرة على مصادقة مستخدم. مع Threema ، يكون لتسريب مفتاح سريع الزوال نفس تأثير تسريب مفتاح طويل المدى. تتسبب إدارة المفاتيح القذرة أيضًا في قيام Threema بإعادة استخدام المفاتيح المؤقتة في الأماكن التي لا ينبغي إعادة استخدامها مطلقًا.
    2. عيب في الطريقة التي يتفاعل بها بروتوكول Threema من العميل إلى الخادم (C2S) مع بروتوكوله من طرف إلى طرف (E2E) الذي يتسبب في قيام المستخدم بإنشاء قيمة Threema خاصة تُعرف باسم صندوق الإيصال وإرسالها إلى المهاجم. يمكن للمهاجم استغلالها عن طريق خداع المستخدم لإرسال مجموعة من الأحرف (u9j6 ?’jjh Ի ^ ã1kkaW: -؛ gRA) إلى حساب خاص ولكن غير ضار. إحدى الطرق الممكنة للمهاجم للقيام بذلك هي إرسال بريد عشوائي إلى عدد كبير من المستخدمين لإخبارهم بإرسال سلسلة الأحرف إلى حساب معين حتى يكونوا مؤهلين للحصول على جائزة. من تلك النقطة فصاعدًا ، يمكن للمهاجم انتحال صفة العميل المخترق إلى الخادم.
      هجوم 1.2 عمليًا: على اليسار ، زوج مفاتيح مناسب مشفر باستخدام base64.  تتكون وحدات بايت المفتاح العام من 1 إلى 31 ، المشفرة أيضًا في رمز الاستجابة السريعة ، من أحرف UTF-8 قابلة للطباعة.  على اليمين ، حساب * LYTAAAS Threema gateway (تم إبطاله منذ ذلك الحين) ، باستخدام المفتاح العام الذي تم اختراقه للخادم.  يرسل المستخدم U محتويات QR إلى * LYTAAAS كرسالة سيسمح لـ * LYTAAAS بالمصادقة على Threema باسم U.
      تكبير / هجوم 1.2 عمليًا: على اليسار ، زوج مفاتيح مناسب مشفر باستخدام base64. تتكون وحدات بايت المفتاح العام من 1 إلى 31 ، المشفرة أيضًا في رمز الاستجابة السريعة ، من أحرف UTF-8 قابلة للطباعة. على اليمين ، حساب * LYTAAAS Threema gateway (تم إبطاله منذ ذلك الحين) ، باستخدام المفتاح العام الذي تم اختراقه للخادم. يرسل المستخدم U محتويات QR إلى * LYTAAAS كرسالة سيسمح لـ * LYTAAAS بالمصادقة على Threema باسم U.
      شكل يوضح التفاعل عبر البروتوكول لجلسة E2E و C2S.  يدعي المهاجم المفتاح العام للخادم ويعرف زوج مفاتيح من النموذج (z، Z = 0x01 ∥ σ ∥ 0x01).  يقنعون الضحية U بإرسال σ إليهم كرسالة نصية E2E (باللون الأزرق ، الجانب الأيسر).  يمكن للمهاجم الآن بدء جلسة بروتوكول C2S (الجانب الأيمن) حيث يستخدم زوج المفاتيح
      تكبير / شكل يوضح التفاعل عبر البروتوكول لجلسة E2E و C2S. يدعي المهاجم المفتاح العام للخادم ويعرف زوج مفاتيح من النموذج (z، Z = 0x01 ∥ σ ∥ 0x01). يقنعون الضحية U بإرسال σ إليهم كرسالة نصية E2E (باللون الأزرق ، الجانب الأيسر). يمكن للمهاجم الآن بدء جلسة بروتوكول C2S (الجانب الأيمن) حيث يستخدم زوج المفاتيح “سريع الزوال” (z ، Z) ومربع الإيصال المقابل EK2 (Z) (باللون الأزرق) من أجل المصادقة مثل U للخادم .
  2. عندما يخترق المهاجم خادم Threema:
    1. نقص حماية سلامة البيانات الوصفية للرسالة. نتيجة لذلك ، يمكن للمهاجم إعادة ترتيب و / أو حذف الرسائل المرسلة من عميل إلى آخر خلسة.
    2. يسمح التعامل الخاطئ مع الاستخدام الخاطئ لهجمات “إعادة العرض والانعكاس” ، حيث يقوم الفاعل بإعادة إرسال الرسائل القديمة وإرسال رسالة للمستخدم أرسلها المستخدم مسبقًا إلى شخص آخر.
    3. خطأ في بروتوكول التحدي والاستجابة المستخدم للعميل لمصادقة نفسه إلى الخادم أثناء التسجيل. أثناء العملية ، يثبت العميل حيازته لمفتاحه الخاص عن طريق تشفير رسالة يختارها الخادم ومشفرة بمفتاح عام يختاره الخادم. يمكن للخادم المخترق استغلال هذا التصميم لإنشاء “kompromat” ، أو ربما رسائل تدين يمكن تسليمها في أي وقت لاحق إلى مستخدم مستهدف. قام Threema بتصحيح هذه الثغرة الأمنية في ديسمبر 2021 ، عندما اكتشفها باحث منفصل.
  3. عندما يتمكن مهاجم من الوصول إلى هاتف غير مؤمن يعمل بنظام Threema:
    1. ميزة تسمح للمستخدمين بتصدير مفتاحهم الخاص من جهاز إلى آخر. تجعل قرارات التصميم السيئة من السهل على المهاجم استخدام المفتاح لاستنساخ حساب Threema والاستمرار في الوصول إلى جميع الرسائل المستقبلية. بالإضافة إلى خادم Threema المخترق ، يمكن للخصم أيضًا الحصول على جميع الرسائل المرسلة مسبقًا.
    2. ضغط الرسائل الذي يحدث قبل التشفير عندما يقوم Threema بإنشاء نسخة احتياطية ، جنبًا إلى جنب مع قدرة المهاجم على استخدام ميزة الاسم المستعار لحقن السلاسل المختارة في النسخة الاحتياطية. يسمح هذا للمهاجم الأكثر تطوراً بمراقبة حجم ملف النسخ الاحتياطي عبر تكرارات متعددة واستعادة المفتاح الخاص للمستخدم في النهاية.
تكوين بروتوكول من طرف إلى طرف ومن عميل إلى خادم.  ينشئ كل عميل قناة آمنة مع الخادم باستخدام بروتوكول C2S (باللون الأصفر) لإرسال واستقبال الرسائل المشفرة E2E من مستخدمين آخرين ، والتي يتم ترحيلها عبر الخادم (الاتصال باللون الأخضر).
تكبير / تكوين بروتوكول من طرف إلى طرف ومن عميل إلى خادم. ينشئ كل عميل قناة آمنة مع الخادم باستخدام بروتوكول C2S (باللون الأصفر) لإرسال واستقبال الرسائل المشفرة E2E من مستخدمين آخرين ، والتي يتم ترحيلها عبر الخادم (الاتصال باللون الأخضر).

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

What Are the Secrets Behind Billy Gardell’s Weight Loss in 2024? 5 Scientifically-Backed Ways to Lose Weight Best Appetite Suppressants for Hunger Control and Weight Loss in 2022 Top 5 Christina Aguilera Weight Loss Secrets: What Worked for Her Do Keto ACV Gummies Really Work? A Comprehensive Look Honest and Comprehensive Review of Biopure Keto Gummies Where to Buy Keto Gummies: Your Guide to the Best Products Your Guide to Walmart Keto ACV Gummies: Benefits, Reviews, and More! How Slim Plus Keto ACV Gummies Can Transform Your Weight Loss Journey Transform Your Body with Ripped Results Keto Gummies: The Tasty Way to Keto Success The Ultimate Guide to Total Fit Keto ACV Gummies for Weight Loss The Ultimate Guide to 1st Choice Keto + ACV Gummies The Ultimate Guide to Optimal Keto + ACV Gummies: Benefits and Usage Unraveling the Truth Behind ProFast Keto ACV Gummies: A Comprehensive Review Why You Need Keto and ACV Gummies: Discover Their Benefits Is the Keto + ACV Gummies Scam Real? Let’s Investigate! How Jonah Hill’s Weight Loss Journey Transformed in 2024 Why Anant Ambani’s Weight Loss Approach Worked: Detailed Insights and Methods How Jelly Roll’s 2024 Weight Loss Journey Transformed His Life Kelly Clarkson Weight Loss Secrets: How She Did It in 2024 Simple and Easy Tips from Melissa McCarthy’s Weight Loss Success Best Peptides for Weight Loss in 2024: Easy Choices, Proven Solutions, and Benefits How Lizzo’s Weight Loss Journey Evolved in 2024: Facts and Insights How Rebel Wilson Achieved Her Weight Loss Goals: Steps and Secrets Ultimate Facts About Weight Loss Drugs for Alzheimer’s: Latest 2024 Analysis Berberine Weight Loss: Latest Insights & Benefits for 2024 Why Semaglutide Dosage Matters for Effective Weight Loss: Tips and Insights Leanbean Review 2022: Ingredients, Effectiveness, and Side Effects