IronChatはどのように侵害されましたか?
オランダ警察は、100万人以上の犯罪容疑者の通信をスパイし、25万以上のチャットメッセージがやり取りされている様子をライブで見守っていたことを明らかにしました。
暗号化されたメッセージは、BlackBox IronPhonesで利用できる、おそらく安全な暗号化されたメッセージングサービスであるIronChatを使用して送信されました。
IronChatはOTRプロトコルを使用しました。
https://en.wikipedia.org/wiki/Off-the-Record_Messaging#Client_support
Xabber(Android)に基づくIronChat
信号もOTRプロトコルに基づいています。信号も危険にさらされていますか?
2013年に、OTRメッセージングとサイレントサークルインスタントメッセージングプロトコル(SCIMP)に基づくシグナルプロトコルが導入されました。
TL; DR
現在、メッセージが正確にどのように読み取られたかの公開情報はありませんが、すべてソフトウェアの不完全な実装と悪いUIデザインを示しています。
OTRに問題はなく、その実装に問題がありました。オン nakedsecurity.sophos.com
一つには、このアプリは、平均的なユーザーが理解できないような言葉で、ティーン向けのメッセージが傍受される可能性があることをユーザーに警告している、と彼は言った。警告:
暗号化は有効になっていますが、会話パートナーは認証されていません
そして arstechnica.com
オランダの公共放送局が公開した記事NOS調査したバージョンのIronChatアプリは、さまざまな潜在的に深刻な弱点に苦しんでいると述べました。重要なのは、連絡先の暗号化キーがあったときにユーザーに通知する警告メッセージです変更されたものは、他の会話よりもはるかに小さいフォントで提供されていたため、見落としがちでした。暗号化キーは、誰かが新しい電話を手に入れたときなどの正当な理由で変更されることが多いですが、新しいキーはサードパーティの署名でもある可能性があります制御するキーで暗号化して通信を傍受しようとしています。
同じニュースのシグナル
たとえば、Signalアプリは、送信者のデバイスを離れる前に受信者の公開鍵を使用してメッセージを暗号化します。その結果、Signalの中央サーバーを通過するメッセージは、受信者の個々のデバイスにのみ保存されている受信者の秘密鍵によってのみ復号化できます。法執行機関がサーバーを制御した場合、Signalアプリを大幅に更新し、ターゲットが更新をインストールするのを待たなければ、メッセージの内容を読み取ることができません。それでも、更新プログラムのインストール後に送信されたメッセージのみを読み取ることができます。以前のメッセージは判読不能のままです。