Ab sofort ist der Quellcode von Threemas neuer Desktop-App, die sich derzeit in der Beta-Phase befindet, öffentlich einsehbar. Damit hält auch diese App Einzug ins Bug-Bounty-Programm. Doch bevor sich Bounty-Jäger zu früh freuen: Die App hat bereits ein gründliches Audit durchlaufen und eine Bug-Bounty-Challenge hinter sich gebracht.
Alle Threema-Apps sind nun quelloffen
Threema 2.0 für Desktop basiert auf einer komplett neuen Architektur, verfügt über eine von Grund auf überarbeitete Benutzeroberfläche und bietet Multi-Device-Unterstützung. Nutzer der iOS-Mobil-App können die neue Desktop-App bereits als Beta-Version einsetzen und mit bis zu zwei Computern verbinden. Alle verbundenen Geräte lassen sich dann unabhängig voneinander verwenden.
Wie die Android-, die iOS- und die erste Generation der Desktop-App, ist nun auch die neue Desktop-App quelloffen. Interessierte Fachpersonen haben somit die Möglichkeit, Sicherheit und Funktionsweise der App unabhängig zu überprüfen. Sollten dabei sicherheitsrelevante Fehler zutage treten, warten Prämien von bis zu 10’000 CHF.
Audit und Bug-Bounty-Challenge
Vor kurzem wurde die Desktop-App im Rahmen der Bug-Bounty-Challenge von GOhack24 auf Herz und Nieren geprüft. Dabei ist keinem der ethischen Hacker gelungen, eine Sicherheitslücke zu finden.
Ausserdem wurde die App Anfang Jahr einem systematischen Audit durch Cure53 unterzogen. Unter den präsentierten Findings, welche alle umgehend berücksichtigt wurden, haben sich keine kritischen Schwachstellen befunden. In ihrem Audit-Bericht halten die Sicherheitsforscher fest:
Das Prüfteam war von der allgemeinen Sicherheitslage der untersuchten Komponenten ziemlich beeindruckt. (S. 17)