- Сообщения
- 145
- Реакции
- 193
Кто давно в теме, тот наслышан про Threema — проект, который позиционирует себя как «швейцарский банк» в мире мессенджеров. Поговаривают, его уважают даже оборотни в погонах, и на первый взгляд, неспроста. Шифрованный, платный и, главное, позволяет регистрироваться полностью анонимно, без номера и почты. Если забыть про Matrix/XMPP, то проект претендует на венец анонимности и безопасности. По крайней мере на бумаге...
Threema появилась в 2012 году в Швейцарии как закрытый коммерческий проект. Долгое время верить в её безопасность приходилось на слово. Лишь в конце 2020 года под давлением сообщества разработчики наконец-то открыли исходный код клиентов, позволив всем желающим заглянуть под капот. И то, что там нашли, многим не понравилось.
Золотое правило криптографии — «не изобретай велосипед». Threema его нарушила, создав собственный протокол шифрования. И это вышло боком.
Да, всё оперативно исправлялось. Но разрабы в Твиттере пытались сделать хорошую мину при плохой игре, а репутация была подорвана.
Но если с уязвимостями худо-бедно справились, то под закон они прогнулись конкретно. Ещё в 2017-ом Threema стала первым иностранным мессенджером, который добровольно вошёл в реестр ОРИ (организаторов распространения информации).
Когда активисты «Роскомсвободы» спросили их в лоб, разрабы сначала пошли в отказ, мол на контакт с российскими силовиками не шли. Зато признались, что по запросу швейцарский (и не только) властей будут сливать ворох метаданных:
Разговоры о «швейцарской юрисдикции» для нас с вами закончились в тот же день.
Что за зверь?
Threema появилась в 2012 году в Швейцарии как закрытый коммерческий проект. Долгое время верить в её безопасность приходилось на слово. Лишь в конце 2020 года под давлением сообщества разработчики наконец-то открыли исходный код клиентов, позволив всем желающим заглянуть под капот. И то, что там нашли, многим не понравилось.
Провал №1: Технический
Золотое правило криптографии — «не изобретай велосипед». Threema его нарушила, создав собственный протокол шифрования. И это вышло боком.
- 2021: Обнаружена первая уязвимость, позволяющая серверу нарушать аутентификацию. Её тихо исправили.
- 2022-2023: Исследователи из ETH Zurich публикуют отчёт о публикуют отчёт о семи (!!!) уязвимостях. Они позволяли не только ломать чаты, но и потенциально восстанавливать приватные ключи пользователей.
- 2024: Новый аудит от Cure53 находит очередную пачку дыр, на этот раз в десктопном приложении.
Да, всё оперативно исправлялось. Но разрабы в Твиттере пытались сделать хорошую мину при плохой игре, а репутация была подорвана.
Провал №2: Российский след
Но если с уязвимостями худо-бедно справились, то под закон они прогнулись конкретно. Ещё в 2017-ом Threema стала первым иностранным мессенджером, который добровольно вошёл в реестр ОРИ (организаторов распространения информации).
Когда активисты «Роскомсвободы» спросили их в лоб, разрабы сначала пошли в отказ, мол на контакт с российскими силовиками не шли. Зато признались, что по запросу швейцарский (и не только) властей будут сливать ворох метаданных:
- Хешированный номер телефона или почту (если привязаны)
- Push-токен
- Открытый ключ
- Дату создания аккаунта и дату последнего входа
Разговоры о «швейцарской юрисдикции» для нас с вами закончились в тот же день.
Что в итоге
Для нас с вами Threema — это, по сути, генератор анонимных учёток. Но жить в этом ID, вести постоянную работу — уже сомнительно. Зачем рисковать с таким неоднозначным продуктом, когда есть аналоги, проверенные временем и, главное, криптографией?
Последнее редактирование модератором:
