Sicherheits-Audit von Krypto-Messenger Wire abgeschlossen
Zwei unabhängige Sicherheitsfirmen haben gründlich in den Ende-zu-Ende verschlüsselnden Messenger Wire geguckt. Dabei stießen sie auf keine kritischen Lücken.
(Bild: Wire)
Der Krypto-Messenger Wire setzt auf State-of-the-Art-Kryptografie, um Nachrichten Ende-zu-Ende verschlüsselt zu verschicken. Dabei kommt eine Variation des Axolotl-Protokolls von Moxie Marlinspike zum Einsatz; darauf setzen in ähnlicher Form auch Signal und WhatsApp.
Ob die Spezifikationen und Implementierungen im Open-Source-Messenger Wire wirklich sicher sind, haben nun Sicherheitsforscher von Kudelski Security und X41 D-Sec abgeklopft – insgesamt sind sie zufrieden. Im Zuge des Audits haben sie das Wire-eigene auf Axolotl basiernde Open-Source-Protokoll Proteus, die High-Level API Cryptobox und den C Wrapper Cryptobox-C auseinandergenommen.
Unter anderem aus diesen Elementen setzen sich die Wire-Versionen fĂĽr Android, Linux, iOS, macOS, Windows und Wire for Web zusammen. Somit gilt das positive Ergebnis der SicherheitsprĂĽfung fĂĽr diese Wire-Ausgaben.
Diverse Schwachstellen aufgedeckt
Beim Audit sind die Sicherheitsforscher eigenen Angaben zufolge auf keine kritischen LĂĽcken gestoĂźen. Insgesamt haben sie dennoch 14 Schwachstellen im analysierten Code gefunden. Neun davon stufen sie mit dem Bedrohungsgrad mittel ein, die restlichen fĂĽnf mit niedrig.
Ein Sicherheitsrisiko ist etwa, dass Wire unter gewissen Voraussetzungen ungültige öffentliche Schlüssel ohne zu meckern annehmen könnte. Als Konsequenz wäre das bei einer Kommunikation ausgehandelte Geheimnis gefährdet. Die Lücken sollen mittlerweile geschlossen sein. Im Report zum Wire-Audit findet man weiterführende Informationen.
Die Wire-Macher haben sich für Kudelski Security und X41 D-Sec als Sicherheitsprüfer entschieden, weil diese Firmen einiges an Erfahrung vorweisen können. Unter anderem haben sie die erste Sicherheitslücke im Krypto-Messenger Signal entdeckt. (des)
