Šifrování aplikace Threema opravdu prolomeno? Jak komunikaci lépe zabezpečit?

V posledních týdnech se objevila zpráva o tom, že šifrování aplikace Threema pro bezpečné chatování, volání a odesílání souborů bylo prolomeno. O všem informovala slovenská média, kde byl můj článek také citován (článek na TVNoviny.sk). Kde je ale pravda? Je možné Threemu „odposlouchávat“? Myslím si, že nemá smysl panikařit a níže si můžete přečíst důvody.

 

Slovenský DenníkN informuje o tom, že k údajům z aplikace Threema se dostalo vědecko-odborné centrum pro zkoumání počítačové kriminality Europol. Úřad se dostal do komunikace podnikatele Mariana Kočnera, který je údajně podezřelý se zapletení do vraždy novináře Jána Kuciaka.

Threema využívá end-to-end šifrování, což je koncové šifrování. Funguje to tak, že odesílané informace se skrze šifrovanou síť pošlou do druhého zařízení, kde také končí a nikde na serverech se nic neuchovává. Je tedy dost nepravděpodobné, aby komunikace byla prolomena a stažena odněkud z cloudu, jak někteří tvrdí.

Jak to tedy bylo? Nikde není žádné oficiální prohlášení, jak se Europol k datům z aplikace Threema dostal. Dle mého názoru to celé bylo tak, že někdo prolomil zabezpečení smartphonu Kočnera, kdy stačilo znát jeho PIN a poté bylo možné konverzace z Threemy bez problémů číst. Jiná možnost není pravděpodobná.

Jak aplikaci Threema a mobil lépe zabezpečit?

Threema může být zabezpečena sebelépe, ale pokud uživatel neumí zabezpečit svůj mobil, tak je i to nejlepší šifrování komunikace na nic. Co tedy dělat, aby mi opravdu nikdo nemohl číst zprávy v Thremě? Je to opravdu jednoduché.

 

Opravdu ty nejnutnější body:

  • Stahujte aktualizace operačního systému!
  • Stahujte všechny dostupné aktualizace aplikace Threema v Obchodu Play a App Store! Je to velice důležité, protože vývojáři opravují chyby a stále zdokonalují zabezpečení.
  • Mějte aktivní šifrování systému Android i iOS. Je nutné nastavit PIN či gesto pro odemykání. PIN by měl být co nejdelší a v žádném případě by neměl obsahovat data narození a další snadno získatelné informace. Odemykání obličejem vůbec nedoporučuji používat, protože není moc bezpečné.
  • Nestahujte neověřené APK soubory mimo Obchod Play, protože si do svého mobilu můžete nainstalovat malware, který bude odesílat data z mobilu.
  • Na svém Androidím mobilu NIKDY neprovádějte root!

Když to se zabezpečením myslíte opravdu vážně:

Pokud to se zabezpečením komunikace myslíte opravdu vážně, tak čas od času můžete celou konverzaci z mobilu vymazat. Pokud tedy budete donuceni vydat PIN k odemknutí mobilu, tak tam beztak žádnou konverzaci nikdo nenajde. Stačí smazat data aplikace či ji jednoduše odinstalovat, znovu nainstalovat a vytvořit nové Threema ID.

Threema se nově po aktualizacích umí zamknout, což se v některých situacích rozhodně může hodit. Chcete někomu půjčit na chvilku mobil, ale chcete mít jistotu, že se v žádném případě nepodívá do konverzací v Threemě? Stačí stáhnout rolovací lištu v systému a klepnout na tlačítko Zamknout (u Androidu). Aplikace nezobrazí žádné zprávy, včetně těch příchozích a pro její odemknutí bude vyžadovat zvolené heslo a poté otisk prstu (systémový zámek). Lze si také nastavit interval, kdy se má Threema automaticky zamknout. V aplikaci nebude možné ani vytvářet screenshoty (fotky obrazovky), což zabraňuje většině malwarům odesílat fotky konverzací.

Nastavení zabezpečení najdete po klepnutí na horní ikonu menu vlevo nahoře/Nastavení/Zabezpečení. Tam stačí nastavit typ zámku, povolit ochranu aplikace, případně nastavit interval zamčení aplikace a nejdůležitější je povolit šifrování lokálních dat v mobilu a nastavit vlastní heslo.

Přečtěte si také:

 

6 thoughts on “Šifrování aplikace Threema opravdu prolomeno? Jak komunikaci lépe zabezpečit?”

  1. Zde píší o přečtení dokonce smazaných zpráv? To se jim podařilo přečíst interní paměť a obnovit nějaké smazané soubory?
    https://www.novinky.cz/zahranicni/evropa/clanek/kocnerovy-sifrovane-zpravy-odhalily-spinu-na-nejvyssich-mistech-40292659

    Mít mobil chráněný heslem a šifrované vnitřní úložiště by měla být samozřejmost.

    Threema má již několik let vlastní zámek: Nastavení\Zabezpečení\Ochrana přístupu k UI, který by se měl také používat 🙂
    Pokud náhodou mobil někomu půjčím do ruky, ať si třeba zavolá, nemá možnost do ní nahlédnout. V případě, že mám mobil chráněný otiskem prstu, Threema musí být chráněna nějakým PINem. Používat otisk prstu na odemčení programu Threema i mobilu bezpečnost degraduje.

    Threema rovněž umí a to je dost důležíté, chránit šifrovací klíč heslem. Heslo je třeba zadávat po restatrtu mobilu nebo když dojde k ukončení aplikace. Pokud je klíč zamknutý, nikdo si lokálně uložené zprávy nepřečte. (Musel by prolomit šifru AES nebo najít nějakou trhlinu v programu.)
    To se aktivuje v Nastavení\Zabezpečení – Šifrování lokálně uložených dat
    Zde je asi praktické povolit úplně dole Oznámení o nové zprávě i když je klíč zamknutý.

    Více zde:
    https://threema.ch/en/faq/crypto_local

    Předpokládám, že mobil mafiána nebyl správně nastavený (což je v tomto případě jen dobře) a nejedná se o žádnou nedokonalost programu.

  2. To je tak, když „někdo“ nedočte článek a napíše komentář………

    Omlouvám se, napsal jsem vlastně to samé, co v článku na konci je 😀

    1. Na fotkách stojí s iPhonem. Nikde však není informace, jaký mobil používal. Je ale také dost možné, že všechny informace o prolomení nejsou pravdivé a byl jen donucen odemknout mobil a Threemu. 😀

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*