So... wer drei grüne Punkte bei Threema möchte, obwohl er sein gegenüber noch nie getroffen hat, einfach einen Screenshot des QR-Codes erstellen und diesen bspw. via EMail an die betreffende Person versenden, von dieser mit Threema einscannen und das war es dann auch schon. Die drei grünen Punkte sind gebonkt
.
Eben erfolgreich getestet mit einer Kollegin
.
LG Uwe
Natürlich geht das. Wieso sollte das nicht gehen? Doch der Sinn des Systems ist ja, genau das NICHT zu machen. Egal ob roter Punkt, zwei orange Punkte oder drei grüne Punkte - die Verschlüsselung ist immer gleich stark und gleich gut. Die farbigen Punkte geben nur an, in wie weit man sich sicher sein kann, dass der Absender derjenige ist, für den er sich ausgibt.
- Rote Punkte = keine Überprüfung. Es ist möglich, dass sich irgendwer als diese Person ausgibt. Oder selbst wenn es die richtige Person ist, kann eine Man-In-The-Middle-Attacke (MITM) vorliegen, so dass jemand in der Mitte die Nachrichten abfängt, entschlüsselt, manipuliert, neu verschlüsselt und dann erst an den Empfänger weiterschickt.
- Zwei orange Punkte sagen, dass keine MITM-Attacke und kein Identitätsklau mehr vorliegen sollte. Das wurde anhand der Mailadresse oder Handynummer durch Threema überprüft. So lange auf diesen Wegen kein Hack stattgefunden hat (Mailadresse gehackt, SIM-Karte geklaut, Threema kompromittiert), kann man also sicher sein, dass man mit der Person schreibt, die man da ausgewählt hat - und mit keinem Mann in der Mitte oder jemandem, der sich nur dafür ausgibt. Aber es gibt eben die Unsicherheitsfaktoren Threema, Mailadresse und Handynummer. Dafür gibt es dann..
- ..die drei grünen Punkte: Sie sagen aus, dass du
persönlich überprüft hast, dass die ID zu der Person gehört. Persönlich funktioniert natürlich nur, wenn du persönlich diesen Code einscannst. Wenn der zwischendurch kopiert und per Mail verschickt wurde, kann ein MITM die Mail austauschen und hängt seinen eigenen Screenshot an. Du wiegst dich nun in Sicherheit, siehst ja schließlich drei grüne Punkte. Im Hintergrund kann der MITM nun aber seelenruhig mitlesen, manipulieren und sonst was anstellen.
Wer also darauf aus ist, die Sicherheit zu untergraben, nur um die schönen drei grünen Punkte sehen zu können, kann von mir aus die QR-Codes sonstwo hinschicken. Diese User sollten sich aber im klaren sein, dass 3 grüne Punkte dadurch unsicherer sind als 2 orange Punkte.
er das Sicherheitssystem dagegen
nicht untergraben möchte, scannt die QR-Codes
NUR persönlich.
Anscheinend durchsucht Threema noch irgendwelche weiteren Kontakte, denn auf einmal befand sich hha in meinen Threema Kontakten obwohl ich seine Handynummer nicht in meinen Kontakten hatte. Die einzige bisher bekannte Verbindung existiert über einen ehemaligen Emailverkehr und über Facebook.
Aber wie kommt Threema dann an die Nummer?
Es existierte E-Mail-Verkehr. Die Synchronisation ist möglich über Handynummer (wie bei WhatsApp) oder auch per Mail. Je nachdem, was der Nutzer eingetragen hat, geht entweder eins von beiden oder beides oder gar nichts von beidem. Hier ist offenbar die Mailadresse in deinem Adressbuch und der Gegenüber hat für die Synchronisierung genau diese Mailadresse in Threema hinterlegt.
