Hacker durchleuchten Threema

Im Rahmen der Hacker-Konferenz 33C3 des Chaos Computer Clubs in Hamburg haben deutsche Sicherheitsforscher den Schweizer Messaging-Dienst Threema durchleuchtet. Der Doktorand Roland Schilling und sein Mitarbeiter Frieder Steinmetz haben die App einem Reverse Engineering unterzogen, wie 'Heise' und 'Golem' von der Konferenz berichten. Der damit nachgebaute Code wurde auf Github veröffentlicht.
 
Wie 'Heise' schreibt, gibt es zum Code aber keine Dokumentation. Die Sammlung umfasse aber "fast alle Funktionen", so Schilling. Die Inhalte sollen sich laut 'Golem' für die Entwicklung von Bots eignen.
 
Threema wird Quellcode nicht veröffentlichen
Hintergrund der Arbeit der beiden Forscher ist unter anderem die Forderung der Hacker-Community, dass Threema selbst den Quellcode als Open Source veröffentlicht. Nur so lasse sich echte Transparenz herstellen, sagt Schilling weiter.
 
"Wir begrüssen es, wenn unsere Arbeit kritisch beleuchtet wird, fühlen uns aber nicht durch die Veröffentlichung des Codes unter Druck gesetzt," so Threema auf Anfrage der 'Zeit'. "Damit die Zukunft von Threema nicht durch mögliche kostenlose Klone gefährdet wird, was mit der kompletten Veröffentlichung des Codes passieren könnte, sehen wir von einer vollständigen Veröffentlichung des Quellcodes aktuell ab."
 
"Wesentliche Komponenten" von Threema gebe es bereits unter einer Open-Source-Lizenz, so das Unternehmen weiter auf die Frage, ob der Threema-Quellcode veröffentlicht werde. Zu den verfügbaren Komponenten gehören laut Informationen auf der Website die Verschlüsselungsbibliothek NaCl, SaltyRTC (End-to-End verschlüsselte Client-Server-Kommunikation über WebRTC), eine Threema Message API sowie eine unabhängig entwickelte Open-Source-Implementierung von Threema, openMittsu.
 
Webclient kommt nächstes Jahr
Threema hatte vor wenigen Wochen angekündigt, dass es den Messaging-Dienst Anfang 2017 auch als Webclient geben wird. Noch befindet sich Threema Web in einer geschlossenen Beta-Phase. Wie bei WhatsApp Web können Nutzer im Web einen QR-Code scannen, um die Applikation im Browser zu öffnen. Wie 'Heise' zur Ankündigung des Threema-Webclients berichtete, will das Unternehmen den Quellcode von Threema Web vollständig veröffentlichen. (kjo)