Sicherheit

D

Domi_

Neues Mitglied
0
Hi Leute,

Nach einem vollständigen Backup ist mir aufgefallen, dass bei Threema ua eine key.dat Datei, die aes verschlüsselte Datenbankdatei und eine cs-private-key Datei enthalten ist.

Laut dem Bericht, welchen ich im Internet gefunden habe ( https://www.google.de/url?sa=t&rct=...r3GXfwFpXVUPvfg&bvm=bv.75097201,d.ZGU&cad=rja ) ist es möglich damit die verschlüsselte Datenbankdatei zu entschlüsseln. Das würde mich ja mal stark interessieren wie die aufgebaut ist. Hat das mal zufälligerweise jemand ausprobiert? Scheinbar ist der private_key durch irgendwelche zusätzliche hex-Zeichen verschleiert.

Von Threema gibt es auch eine Encryption Validation, hat dies vielleicht auch mal jemand ausprobiert? Das hatte bei mir leider nicht funktioniert. Man benötigt dazu das NACL Paket und die C-Programmcodes sowie das Makefile. Will ich das Makefile jedoch kompilieren, kommt bei mir die Fehlermeldung, dass er "-lnacl" nicht finden kann, ich habe leider auch keine Ahnung was genau das sein soll. Das steht auch so 1:1 im Makefile drin... Laut google soll das ein fehlender Linker oä sein, aber leider keine Ahnung wie ich das hinbekommen kann, die Informationen sind da doch leider recht spärlich... Ich wäre über jede Rückmeldung dankbar :)
 
Zum bauen brauchst du immer die Abhängigkeiten. Das ist aber bei jedem Programm so was du bauen willst. Da braucht es hierfür keine extra Anleitung.

Unter Debian und Derivate z.B.:
apt-get install libnacl-dev

Unter anderen Linux Versionen gibt es halt auch entsprechende Packetverwaltungen mit denen man sich libs (und deren dev Kram) installieren kann.


BTW: In libs (das was bei Windows eine dll ist) wird Programmcode anderen Programmen bereitgestellt.
Will man z.B. eine jpg Datei erstellen dann bindet man eine jpg erstell lib ein. In dieser hat sich dann irgendjemand mal die Mühe gemacht Programmcode zum speichern von jpg zu schreiben.
Niemand wird auf die Idee kommen so was für sein Programm selbst zu schreiben wenn es schon eine lib gibt die das kann.
Es gibt tausende libs für alle möglichen Aufgaben. Und so gut wie jedes Programm nutzt welche.

cu
 
Zuletzt bearbeitet:
Danke für deine Antwort. Genau das

Unter Debian und Derivate z.B.:
apt-get install libnacl-dev
Zum Vergrößern anklicken....

hatte ich auch gefunden, das hatte nur nicht geklappt, da er das Paket nicht finden konnte. Nach langer Suche habe ich nun die Lösung falls es noch jemanden betreffen sollte.

Im Verzeichnis '/etc/apt/sources.list' muss man einen Eintrag hinzufügen:

deb Index of /ubuntu saucy main universe

Danach:

sudo apt-get update

Ausführen und dann kann man endlich das fehlende Paket installieren mit:

sudo apt-get install libnacl-dev

Danke nochmal :)

Dass man aber über das Threema Encrypting Valdiation Tool so den private_Key auslesen kann , ist ja nicht gerade prickelnd... Sollte da mal jemand rankommen, kann er jede Nachricht entschlüsseln
 
Hast du in Threema das Passwort ausgeschaltet? Weil damit sollte der Kram eigentlich verschlüsselt sein.

Ohne Passwort (was bei jedem Appstart abgefragt wird) kann man diese Konfigurationsdateien ja nicht verschlüsseln.

cu
 
Die Passphrase hab ich nicht aktiviert. Wobei die ohnehin nicht bei jedem App-Start neu benötigt wird. Ich hab die App mehrmals beendet und den Cache gelöscht sowie den Ram gelöscht. Eigentlich sollte der Passcode ja nur im Ram gespeichert sein, also entweder wird nicht alles freigegeben oder das wird vorher auf die Platte abgelegt. Nur beim zwanghaften Beenden wird danach erneut die Passphrase abgefragt.

Sollte jemand in den physischen Zugriff vom Handy kommen, kann er ohnehin mit der adb (android debug bridge) ein vollständiges Backup ziehen. Dort liegt dann eine key.dat und eine .crs-private-key. Ich denke in letzterem sollte das gleiche sein, hab ich aber noch nicht ausgetestet.
 
Domi_ schrieb:
Die Passphrase hab ich nicht aktiviert.
Zum Vergrößern anklicken....

Dann ist es ja technisch unmöglich die Daten zu verschlüsseln.

Domi_ schrieb:
Sollte jemand in den physischen Zugriff vom Handy kommen, kann er ohnehin mit der adb (android debug bridge) ein vollständiges Backup ziehen.
Zum Vergrößern anklicken....

Jup, und für genau diesen Fall gibt es die Passphrase. Die schützt davor.

Wobei es extrem simpel für Threema wäre das Backup per adb (oder allgemein über die Android Backup Schnittstelle) zu unterbinden.
Aber das wäre bei den meisten Handys nur vorgetäuschte Sicherheit. Bei den meisten Handys kommt man auch so an die App Daten.

cu
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P373
Threema startet nicht mehr bzw. beendet sich sofort
  • P373
Antworten
2
Aufrufe
1.440
derstein98
derstein98
Wattsolls
Wie wirkt sich bei Threema das Polling/Nutzung von MicroG auf den Akku-Verbrauch aus?
  • Wattsolls
Antworten
9
Aufrufe
1.337
Wattsolls
Wattsolls
H
Benachrichtigungsstil lässt sich nicht ändern
  • Hans-Joerg
Antworten
4
Aufrufe
1.988
Schotti
Schotti
Zurück
Oben Unten