ETH Zurich研究人员于2022年10月3日将研究成果报告给Threema。11月29日,Threema发布了新的更加安全的协议——Ibex,来解决潜在的安全问题。但是Threema称ETH Zurich研究的Threema协议其已不再使用,并称其研究发现并不会对其产品带来任何影响。比如,通过Threema ID export实现克隆攻击已在2021年修复。Vouch box伪造攻击依赖社会工程攻击,需要目标用户的参与。其他攻击还需要对设备的物理访问,且要求Threema设备未锁定。研究论文参见:https://breakingthe3ma.app/files/Threema-PST22.pdfPoC和其他技术细节参见:https://breakingthe3ma.app/参考及来源:https://www.bleepingcomputer.com/news/security/threema-claims-encryption-flaws-never-had-a-real-world-impact/ 原文来源:嘶吼专业版“投稿联系方式:010-82992251 [email protected]”
评论