Threema面临批评：对安全研究的轻视

重点摘要

• 开源消息应用Threema因轻视ETH Zurich大学的安全报告而受到批评。
• 报告指出，Threema存在七种攻击技术的漏洞。
• 威胁行为者可利用身份验证和加密的漏洞，从而获取消息元数据、阻止消息送达、进行账户克隆等。
• Threema回应称未观察到任何“显著的现实影响”，并认为报告中的攻击假设过于不切实际。
• 反对意见来自ETH Zurich的Kenneth Paterson教授等网络安全专家，批评Threema的回应方式。

根据的报道，开源消息应用Threema因对一项来自瑞士苏黎世联邦理工大学的安全报告的轻描淡写而受到广泛批评。该报告详细说明了该平台可能被恶意行为者利用，来执行七种不同的。

据ETH Zurich的研究指出，威胁行为者可以利用Threema的身份验证和加密漏洞来获取消息元数据、阻止消息送达、进行账户克隆、恢复与ThreemaID相关的私钥，甚至加密将来可能发送给用户的敏感消息。虽然Threema针对这些发现发布了缓解措施和新的协议，但Threema表示对于研究中描述的攻击方法不存在”显著的现实影响”。

Threema在接受采访时表示：“大多数[攻击]假设在既定条件下极其复杂且不切实际，若这些假设成立，其后果将远超我们报告中的发现。”ETHZurich的教授Kenneth Paterson，作为该研究小组之一，认为Threema的回应“出乎意料地轻视”。其他网络安全专家，如AndreasSteiger，也批评了Threema对这一研究结果的不专业和激烈的回应。

专家看法：

Kenneth Paterson：“我们并不期望看到这样的回应，尤其是在我们对这些漏洞的潜在影响进行了全面调查之后。”

关键点 | 描述
—|—
应用名称 | Threema
漏洞来源 | ETH Zurich的安全研究
存在的安全问题 | 身份验证与加密漏洞
攻击方式数量 | 七种攻击技术
Threema的回应 | 宣称无显著现实影响，认为假设不切实际
网络安全专家的反馈 | 批评Threema回应不专业、轻视事态的严重性

总之，Threema的安全问题引发了广泛关注，专家们呼吁对此类漏洞给予更多重视，以保护用户的隐私和信息安全。