Sichere messaging-Projekt, Cryptocat, entschuldigt sich über Fehler

2014-01-08  |  Comebuy News

Der Gründer von Lauschangriffen und säurefeste Instant messaging-Anwendung namens Cryptocat hat sich entschuldigt über einen Fehler jetzt behoben, die einige Arten von Nachrichten anfälliger für snooping vorgenommen.

Comebuy Verwandte Artikel: Verschlüsselt IM Projekt, Cryptocat, Blicke auf Handy, wie diese YearCryptocat für einfach zu bedienende verschlüsselte IM ChatDoubt die Sicherheit der Kim Dotcoms Mega ServiceDoubt anschlagen die Sicherheit der Kim Dotcoms Mega ServiceEFF anschlagen Verschlüsselungstool für Adium, Pidgin Instant-Messengern inspiziert

Cryptocat, die in einem Webbrowser ausgeführt wird, ist ein Open-Source-Anwendung, die Benutzer mithilfe von Verschlüsselung Scramble Nachrichten ein hohes Maß an Sicherheit bieten. Aber Cryptocat warnt, dass Benutzer immer noch sehr vorsichtig mit Kommunikation und nicht ihr Leben mit der Anwendung vertrauen dürfen.

Die Schwachstelle gefunden von Steve Thomas, betroffenen Gruppen-chats und keine privaten Gespräche, sagte Nadim Kobeissi, in einem Interview aus Deutschland Freitag. Die Verschlüsselungsschlüssel zum Codieren von diesen Gesprächen waren zu kurz, die in der Theorie war es einfacher für einen Angreifer entschlüsseln und lesen Gespräche.

Der Fehler war das Ergebnis ein versehen von Thomas entdeckt, sagte Kobeissi. Die verschlüsselte Gespräche wurden noch über SSL (Secure Sockets Layer), ein weiteres Overlay der Verschlüsselung durchgeführt. Aber wenn ein Angreifer die SSL-Verschlüsselung brach und die zugrunde liegenden Chats verschlüsselte hatte, "es wäre wesentlich einfacher zu knacken" Brute-Force-Techniken, sagte er.

Der Fehler wurde behoben in Cryptocat Versionen 2.0 und bis nach Thomas vor etwa einem Monat informiert das Projekt. Die Sicherheitsanfälligkeit beibehalten für etwa sieben Monate zwischen September 2012 und April.

Obwohl Cryptocat den Patch in den Changelog erwähnt, schrieb Kobeissi einen ausführlichen Blog-Post am Donnerstag das Problem zu erklären, nachdem Thomas eine scharfe Kritik veröffentlicht.

"Dies ist eine wirklich schwierige Situation", sagte Kobeissi. "Ich bin keine Person, die diese Art von Fehler für absolut keinen Grund, nur um das Bild des Projekts beizubehalten beschönigen wird."

Der Fehler war völlig inakzeptabel, aber es ist üblich, dass Störungen in Open Source Projekten offenbart werden, sagte er. Kobeissi sagte, dass er Thomas 250 US$ Belohnung aus eigener Tasche gab, obwohl Cryptocat keine formellen Fehler-Bounty-Programm hat.

"Ich wollte auf der Platte, die er für seine Leistung bezahlt wurde,", sagte Kobeissi.

Cryptocat hat steigenden Interesse gesehen, da der US National Security Agency-Überwachungsprogramm von Informanten Edward Snowden detailliert war. Kobeissi sah Cryptocat 65.000 neue Benutzer in nur einem Monat seit die Enthüllungen veröffentlicht wurden.

Senden Sie News Tipps und Kommentare an jeremy_kirk@idg.com. Folge mir auf Twitter: @jeremy_kirk

« Back