Whistle.im: Entwickler tilgen Sicherheitsmängel

Vor kurzem hatten wir den Messenger Whistle.im vorgestellt, der mit einer Open-Source-Verschlüsselung punkten möchte und besorgten Internetnutzern nach den NSA-Skandalen Prism und Tempora eine sichere, private Kommunikation ermöglichen soll.

Der Sicherheitsexperte Falk Garbsch vom Chaos Computer Club (CCC) hatte sich die Krypto-Lösung daraufhin einmal genauer angesehen und ist dabei auf mehrere Fehler bei der Implementierung gestoßen. Unter anderem speicherte Whistle.im die privaten Schlüssel der Nutzer auf einem zentralen Server, was im Gegensatz zu den gängigen Sicherheitsempfehlungen steht. Zudem sei die Überprüfung des HTTPS-Zertifikates nicht sicher genug gestaltet gewesen, was Angreifern ein Man-in-the-Middle-Attacke ermöglichte.

Die Entwickler der App haben mittlerweile auf die Kritik reagiert und mit Version 1.10 die genannten Schwachstellen ausgemerzt. Zudem arbeiten die Entwickler derzeit an verschlüsselten Gruppenchats.