Sicherheitsaudit beim Instant Messenger Wire

Foto: Promo

Der Messenger Wire wird immer mal wieder genannt, wenn es um Alternativen zu WhatsApp mit Ende-zu-Ende-Verschlüsselung geht. Jetzt haben zwei Sicherheitsfirmen Wire untersucht und kommen laut heise.de zu folgendem Ergebnis:

Ob die Spezifikationen und Implementierungen im Open-Source-Messenger Wire wirklich sicher sind, haben nun Sicherheitsforscher von Kudelski Security und X41 D-Sec abgeklopft – insgesamt sind sie zufrieden. Im Zuge des Audits haben sie das Wire-eigene auf Axolotl basiernde Open-Source-Protokoll Proteus, die High-Level API Cryptobox und den C Wrapper Cryptobox-C auseinandergenommen.

Bei ihrer Untersuchung (PDF) stießen die Sicherheitsforscher auf 14 Schwachstellen, jedoch auf keine kritischen Sicherheitslücken. Die Schwachstellen sollen laut heise.de mittlerweile geschlossen sein.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

    1. Open Source != FOSS. Es geht Wire wohl eher nicht darum, 100 % FOSS zu sein, sondern lediglich hinsichtlich Sicherheit überprüfbar zu sein. Und auch der Server-Quellcode soll noch im Q1 2017 veröffentlicht werden.

  1. Für mich ist Wire im Vergleich dennoch aufgrund des Registrierungszwanges nicht die erste Wahl…

    1. Verständlich, aber was ist die Alternative? Threema mit closed source, Signal/WhatsApp mit Telefonnummern-Zwang? XMPP was wieder keiner nutzt?

      Du kannst dir ja auch einfach eine Email-Adresse anonym registrieren und diese dann verwenden; das geht bei Telefonnummern nicht so einfach.

      1. Du kannst dir ja auch einfach eine Email-Adresse anonym registrieren und diese dann verwenden

        Gib dich keinen Illusionen hin: Wenn du dich wirklich anonym registrieren willst, dann geht das ganz gewiss nicht „einfach“. Mit falschen Angaben allein ist es nicht getan!
        Um es auf den Punkt zu bringen: Bei dem Vorgang gibt es ein Henne-Ei Problem.

      2. riot.im ist die alternative.

        nich nur open source sondern auch mit offenem protokoll (matrix.org)
        zum registrieren reicht username und passwort (das sollte man dann aber auch nie vergessen, den ohne mailadresse kein reset) , alles andere ist freiwillig möglich.

  2. Aber es ist schonmal ein richtiger Schritt endlich einen Messenger zu haben den der Betreiber nicht mitlesen kann. Natürlich muss erst noch der Servercode geprüft werden.
    Die Anmeldung bei wire funktioniert übrigens auch mit online sms diensten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.