Das Hannoveraner Testinstitut mediaTest digital, welches sich auf die Sicherheitsprüfung und Zertifizierung mobiler Applikationen (Apps) spezialisiert hat, überprüfte die Sicherheit beliebter Messenger-Apps. Die Messenger werden anhand verschiedener Aspekte miteinander verglichen. Hierzu zählen die Sicherheit der Verschlüsselung, plattformübergreifende Kompatibilität, Eignung im Unternehmensumfeld sowie die AGB und Datenschutzerklärung der jeweiligen Anbieter.
Bei der Sicherheit der verschlüsselten Kommunikation ist ein wesentlicher Punkt die Schlüsselverifizierung. Wird diese durchgeführt, so kann man sichergehen, dass keine Man-in-the-Middle-Attacke möglich ist. Diese Funktion ist für wirklich sichere Clients unumgänglich. Die Schlüsselverifizierung wird bisher nur bei zwei der überprüften Lösungen - Threema und Blackberry Messenger - angeboten.
Eine Schlüsselverifizierung ist nur möglich, wenn die Schlüssel der Kontakte konstant bleiben. Wird der AES-Schlüssel einer Unterhaltung über Diffie-Hellman ausgehandelt, anstatt ihn den anderen Partnern über RSA zu übergeben, so kann der Server sehr einfach permanent Man-in-the-Middle-Angriffe durchführen. Dies wäre möglich, da diese Schlüssel ephemer und somit nicht verifizierbar sind.
Das in der nachfolgenden Tabelle aufgeführte Messenger-Feature des dezentralen Logins bedeutet schlicht und ergreifend, dass man von mehreren Geräten auf denselben Account gleichzeitig zugreifen kann. Manche Clients generieren für jedes Gerät einen neuen Account, selbst wenn die Parameter gleich sind. Andere Clients erlauben zwar, auf einen alten Account zuzugreifen, deaktivieren jedoch den Zugriff für alle anderen Geräte, die früher Zugang hatten. (cvi)
In der Tabelle finden Sie die Messenger mit ihren Verschlüsselungsmethoden und Login-Möglichkeiten im Vergleich:
Messenger | Verschlüsselung | Schlüssel-Verifizierung | Dezentraler Login | Anmerkungen |
Blackberry Messenger | Ende-zu-Ende | Ja | unklar | |
Chiffry (Android) | Ende-zu-Ende | keine | unklar | |
Criptext (iOS, Android) | Ende-zu-Ende | unklar | Ja | Criptext muss kontaktiert werden, um Logindaten zu kriegen. Firmen können eigene Server hosten. Option selbstzerstörender E-Mails möglich. |
Cryptocat (Mac OS, iOS, Browser-Plugins) | by default keine, optional Ende-zu-Ende | keine | nein | |
Hoccer XO (iOS, Android) | Ende-zu-Ende | keine | nein | |
iMessage (Mac OS, iOS) | Ende-zu-Ende | keine | Ja | |
myEnigma (iOS, Android, Blackberry) | Ende-zu-Ende | keine | nein | |
Skype (Mac OS, Windows, iOS, Android) | Client->Server | keine | Ja | es wurde gezeigt, dass sämtliche über Skype versandten HTTPS-Links einige Zeit später von Microsoft-Servern aufgerufen werden, d.h. Sicherheit wird von Skype nicht ernst genommen. |
surespot (iOS, Android) | Ende-zu-Ende | keine | ja, aber eingeschränkte Nutzbarkeit: Identitäten müssen mit eigengewähltem Kennwort verschlüsselt entweder über iTunes File Sharing oder über Google Drive von einem Gerät aufs andere übertragen werden. | |
TeamWire (iOS) | Ende-zu-Ende | keine | unklar | |
Telegram (iOS, Android) | standardmäßig keine, optional "Perfect Forward Secrecy" | keine, insbesonder da wegen PFS nicht möglich | ja, aber eingeschränkte Nutzbarkeit: bei verschlüsselten Chats Unterhaltung nur mit einem Partner möglich, Empfang nur auf einem Gerät, selbst wenn mit mehreren eingeloggt. | |
Threema (iOS, Android) | Ende-zu-Ende | Ja | nein | |
whistle.im (Web) | Ende-zu-Ende | keine | Ja | |
Wickr (iOS, Android) | Ende-zu-Ende | keine, insb. da wegen PFS nicht möglich | ja, aber eingeschränkte Nutzbarkeit: Von einem Gerät abgeschickte Nachrichten können nicht auf anderen Geräten abgelesen werden. Multiple Geräte sind theoretisch möglich, aber Nachrichten werden nur an einem Gerät empfangen. |