Technology

Signal보다 나은 것으로 청구되는 메신저는 취약점으로 가득 차 있습니다.

Advertisements

Signal보다 나은 것으로 청구되는 메신저는 취약점으로 가득 차 있습니다.

게티 이미지

학술 연구원들은 스위스에 기반을 둔 개발자가 “다른 채팅 서비스”가 제공할 수 없는 수준의 보안 및 개인 정보를 제공한다고 말하는 인스턴트 메신저인 Threema의 핵심에서 심각한 취약점을 발견했습니다. Threema가 받은 이례적으로 강력한 주장과 두 번의 독립적인 보안 감사에도 불구하고 연구원들은 결함이 일반적으로 E2EE로 축약되는 종단간 암호화를 제공하는 것으로 판매되는 모든 프로그램의 초석인 기밀성과 인증의 보장을 완전히 약화시킨다고 말했습니다.

Threema는 스위스 정부, 스위스 군대, 올라프 숄츠(Olaf Scholz) 독일 총리 및 그 나라의 다른 정치인을 포함하여 1,000만 명이 넘는 사용자를 보유하고 있습니다. Threema 개발자는 Meta의 WhatsApp 메신저보다 더 안전한 대안이라고 광고합니다. 스위스, 독일, 오스트리아, 캐나다 및 호주에서 유료 기반 카테고리의 상위 Android 앱 중 하나입니다. 이 앱은 확립된 암호화 표준에 위배되는 맞춤형 암호화 프로토콜을 사용합니다.

일곱 가지 치명적인 결점

취리히에 기반을 둔 ETH 연구 대학의 연구원들은 월요일에 Threema에서 수년 동안 앱이 제공한 진정한 보안 수준에 대해 심각하게 의문을 제기하는 7개의 취약점을 발견했다고 보고했습니다. 두 가지 취약점은 암호화 방식으로 사용자를 가장하기 위해 Threema 서버 또는 앱에 대한 특별한 액세스가 필요하지 않습니다. 세 가지 취약점을 사용하려면 공격자가 Threema 서버에 대한 액세스 권한을 얻어야 합니다. 나머지 2개는 공격자가 국경 통과와 같이 잠금 해제된 전화에 액세스할 때 악용될 수 있습니다.

공격에 대한 세 가지 위협 모델을 보여주는 다이어그램: 공격자가 (1) 네트워크 통신, (2) Threema 서버 및 (3) 피해자 장치 자체에 액세스할 수 있는 경우.
크게 하다 / 공격에 대한 세 가지 위협 모델을 보여주는 다이어그램: 공격자가 (1) 네트워크 통신, (2) Threema 서버 및 (3) 피해자 장치 자체에 액세스할 수 있는 경우.

Patersonet al.

Advertisements

“전체적으로 우리의 공격은 Threema의 보안 주장을 심각하게 약화시킵니다.”라고 연구원들은 썼습니다. “모든 공격을 완화할 수 있지만 경우에 따라 대대적인 재설계가 필요합니다.”

연구원들이 발견한 7가지 취약점은 다음과 같습니다.

  1. 특별한 액세스 권한이 없는 외부 행위자
    1. 임시 키가 한 번이라도 노출되면 공격자는 클라이언트를 서버에 영구적으로 가장한 다음 모든 E2EE 메시지의 모든 메타데이터를 얻을 수 있습니다. 임시 키는 사용자를 인증할 수 없어야 하기 때문에 이는 현저한 단점입니다. Threema에서 임시 키 유출은 장기 키 유출과 동일한 효과가 있습니다. 조잡한 키 관리로 인해 Threema는 절대 재사용해서는 안 되는 위치에서 임시 키를 재사용합니다.
    2. Threema의 C2S(클라이언트-투-서버) 프로토콜이 엔드-투-엔드(E2E) 프로토콜과 상호 작용하는 방식의 결함으로 인해 사용자가 바우처 상자로 알려진 특수한 Threema 값을 생성하여 공격자에게 보냅니다. 공격자는 사용자를 속여 특수하지만 무해한 계정에 일련의 문자(u9j6֓’jjхЙ^փ1כW:-́;ԡRA)를 보내도록 함으로써 이를 악용할 수 있습니다. 공격자가 이를 수행할 수 있는 한 가지 방법은 경품을 받을 수 있도록 특정 계정에 문자열을 보내도록 많은 수의 사용자에게 스팸을 보내는 것입니다. 그 시점부터 공격자는 해킹된 클라이언트를 서버로 가장할 수 있습니다.
      실제로 공격 1.2: 왼쪽에는 base64로 인코딩된 적합한 키 쌍이 있습니다.  QR 코드로 인코딩된 공개 키 바이트 1~31은 모두 인쇄 가능한 UTF-8 문자로 구성됩니다.  오른쪽에는 하이재킹된 서버의 공개 키가 있는 *LYTAAAS Threema 게이트웨이 계정(해지된 이후)이 있습니다.  사용자 U가 QR의 내용을 *LYTAAAS에 메시지로 보내면 *LYTAAAS가 Threema를 U로 인증할 수 있습니다.
      크게 하다 / 실제로 공격 1.2: 왼쪽에는 base64로 인코딩된 적합한 키 쌍이 있습니다. QR 코드로 인코딩된 공개 키 바이트 1~31은 모두 인쇄 가능한 UTF-8 문자로 구성됩니다. 오른쪽에는 하이재킹된 서버의 공개 키가 있는 *LYTAAAS Threema 게이트웨이 계정(해지된 이후)이 있습니다. 사용자 U가 QR의 내용을 *LYTAAAS에 메시지로 보내면 *LYTAAAS가 Threema를 U로 인증할 수 있습니다.
      E2E 및 C2S 세션의 교차 프로토콜 상호작용을 보여주는 그림.  공격자는 서버의 공개 키를 요구하고 (z, Z = 0x01 ∥ σ ∥ 0x01) 형식의 키 쌍을 알고 있습니다.  그들은 피해자 U에게 E2E 문자 메시지(파란색, 왼쪽)로 σ를 보내도록 설득합니다.  공격자는 이제 서버에 U로 인증하기 위해
      크게 하다 / E2E 및 C2S 세션의 교차 프로토콜 상호작용을 보여주는 그림. 공격자는 서버의 공개 키를 요구하고 (z, Z = 0x01 ∥ σ ∥ 0x01) 형식의 키 쌍을 알고 있습니다. 그들은 피해자 U에게 E2E 문자 메시지(파란색, 왼쪽)로 σ를 보내도록 설득합니다. 공격자는 이제 서버에 U로 인증하기 위해 “임시” 키 쌍(z, Z)과 해당 바우처 상자 EK2(Z)(파란색)를 사용하는 C2S 프로토콜(오른쪽)의 세션을 시작할 수 있습니다. .
  2. 공격자가 Threema 서버를 손상시킨 경우:
    1. 메시지 메타데이터에 대한 무결성 보호가 부족합니다. 결과적으로 공격자는 한 클라이언트에서 다른 클라이언트로 보낸 메시지를 은밀하게 재정렬 및/또는 삭제할 수 있습니다.
    2. 잘못된 사용 논스 처리는 “재생 및 반사” 공격을 허용합니다. 여기서 위협 행위자는 오래된 메시지를 다시 보내고 사용자가 이전에 다른 사람에게 보낸 메시지를 사용자에게 보냅니다.
    3. 클라이언트가 등록하는 동안 서버에 자신을 인증하는 데 사용되는 시도 및 응답 프로토콜의 버그입니다. 이 과정에서 클라이언트는 서버에서 선택한 공개 키로 암호화된 서버에서 선택한 메시지를 암호화하여 개인 키를 소유하고 있음을 증명합니다. 손상된 서버는 이 디자인을 악용하여 “kompromat” 또는 나중에 대상 사용자에게 배달될 수 있는 잠재적으로 유죄 메시지를 생성할 수 있습니다. Threema는 2021년 12월 별도의 연구원이 이 취약점을 발견했을 때 이 취약점을 패치했습니다.
  3. 공격자가 Threema를 실행하는 잠금 해제된 전화에 액세스할 수 있는 경우:
    1. 사용자가 한 장치에서 다른 장치로 개인 키를 내보낼 수 있는 기능입니다. 사용자가 자신의 계정을 보호하기 위해 PIN이나 암호를 사용하도록 선택하지 않는 한 잘못된 설계 결정으로 인해 공격자가 키를 사용하여 Threema 계정을 복제하는 것은 사소한 일입니다. 거기에서 공격자는 계속해서 모든 향후 메시지에 액세스할 수 있습니다. 공격자는 손상된 Threema 서버와 결합하여 이전에 보낸 모든 메시지를 얻을 수도 있습니다.
    2. Threema가 백업을 생성할 때 암호화 전에 발생하는 메시지 압축은 공격자가 닉네임 기능을 사용하여 선택한 문자열을 백업에 주입하는 기능과 결합됩니다. 이를 통해 보다 정교한 공격자가 여러 번 반복하여 백업 파일의 크기를 관찰하고 결국 사용자의 개인 키를 복구할 수 있습니다.
종단 간 및 클라이언트 대 서버 프로토콜의 구성.  각 클라이언트는 C2S 프로토콜(노란색)을 사용하여 서버와 보안 채널을 설정하여 다른 사용자로부터 E2E 암호화 메시지를 보내고 받으며, 이 메시지는 서버를 통해 릴레이됩니다(녹색 연결).
크게 하다 / 종단 간 및 클라이언트 대 서버 프로토콜의 구성. 각 클라이언트는 C2S 프로토콜(노란색)을 사용하여 서버와 보안 채널을 설정하여 다른 사용자로부터 E2E 암호화 메시지를 보내고 받으며, 이 메시지는 서버를 통해 릴레이됩니다(녹색 연결).

Advertisements

Comments

comments

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button