Confide: Von Mitarbeitern des Weißen Hauses benutzte Messaging-App ist unsicher

Forscher von QuarksLab und IOActive haben Sicherheitslücken in der Messaging-App Confide entdeckt. Sie wird Medienberichten zufolge von irischen Politikern und auch vielen Mitarbeitern des Weißen Hauses benutzt. Letztere sollen über die App, die für Windows, Mac OS X, iOS und Android erhältlich ist, vertrauliche Informationen der Regierung Trump an die Presse weitergegeben haben. Dafür soll die App jedoch nicht geeignet sein, da sie entgegen den Aussagen ihres Herstellers Nachrichten nicht vollständig verschlüsseln soll beziehungsweise vor unbefugten Zugriffen schützen kann.

QuarksLab zufolge ist unter anderem der Confide-Entwickler in der Lage, Nachrichten seiner Nutzer zu lesen. Außerdem soll es möglich sein, bestimmte Sicherheitsfunktionen zu umgehen. Confide löscht Nachrichten automatisch, nachdem sie gelesen wurden. Zudem soll die App das Anfertigen von Screenshots verhindern – beides soll nicht wie vorgesehen funktionieren.

Confide ist für Windows, Mac OS X, Android, iOS und die Apple Watch erhältlich (Bild: Confide).„Die Ende-zu-Ende-Verschlüsselung von Confide ist weit vom Stand der Technik entfernt“, schreiben die QuarksLab-Forscher in einem Blogeintrag. „Es ist nicht einfach, eine sichere Messaging-App zu entwickeln, aber wenn man das behauptet, sollten von Anfang an einige starke Mechanismen durchgesetzt werden.“

Confide-Gründer Jon Brod wies die Kritik an seiner App zurück. Die Forscher hätten absichtlich die Sicherheit ihrer eigenen Geräte kompromittiert, um Sicherheitsvorkehrungen von Confide auszuhebeln. „Der Angriff, den sie angeblich gezeigt haben, gilt nicht für legitime Nutzer von Confide, die von verschiedenen Sicherheitsvorkehrungen profitieren.“

Der unabhängige Sicherheitsforscher Kenneth White ergänzte, der Angriff an sich, bei dem QuarksLab die ausführbare Datei des Confide-Messengers modifiziert habe, um die TLS-Prüfung zu deaktivieren, sei für Testzwecke vernünftig. Daraus Kritik abzuleiten, sei jedoch unfair. „Wenn der Binärcode einer App von einem Angreifer modifiziert werden kann, ist es nicht mehr die App.“ Jedoch sei das gesamte Design von Confide fehlerhaft, da die App unterstelle, dass der Confide-Server stets echt sei.

Während sich die Tests von QuarksLab ausschließlich auf die iOS-Apps von Confide beziehen, will IOActive „mehrere kritische Anfälligkeiten“ in den Windows-, Mac- und Android-Apps gefunden haben. Mindestens eine Schwachstelle lege verschlüsselte Nachrichten gegenüber einem Angreifer offen. Ein Fehler in der Confide-Website gefährde zudem die Passwortsicherheit. Es seien auch Brute-Force-Angriffe auf die App-Passwörter möglich. Ein anderer Fehler gebe Hackern Zugriff auf Kontodaten wie Klarnamen, E-Mail-Adressen und Telefonnummern.

White kritisierte zudem, dass Confide seine App mit dem Versprechen bewirbt, sie biete eine „militärische Verschlüsselung“. Das sei ironischerweise in vielen Fällen „ein Anzeichen für ein schlecht gemachtes und unsicheres Produkt.“ Confide-Gründer Brod bestätigte indes, dass sein Unternehmen theoretisch in der Lage sei, Man-in-the-Middle-Angriffe auf die eigene App auszuführen. „Das würden wir nie tun“, sagte der Manager. Sein Unternehmen habe bisher auch noch keine Anfragen von US-Behörden erhalten. Einen Transparenzbericht veröffentlicht Confide jedoch nicht.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.