Surespot е приложение за защитени съобщения с отворен код за Android и iOS. Отличава се със силното криптиране, което използва (56-битово AES-GCM криптиране с помощта на ключове, създадени с 521 битов ECDH), поддръжка за дълги съобщения и възможност за саморазрушаване на съобщения. Само версията за Android е инсталирана 100 000 до 500 000 пъти. В нашата обзор от миналата година на Безопасни алтернативи на WhatsApp, заключихме това,


„SureSpot не поддържа Perfect Forward Secrecy (въпреки че новите ключове могат да бъдат генерирани по всяко време от по-параноичните) и има известна уязвимост към MiTM атаки, но като цяло това е много сигурно и лесно за използване приложение.“

surespot

Приложението обаче получи известна нежелана известност, когато Великобритания е Daily Mail

„Британските джихади булки се отглеждат онлайн с помощта на телефонно приложение, управлявано от крайно леви активисти, може да разкрие пощата. След като са били промити мозъци в Twitter, служителите на „Ислямска държава“ казват на младите момичета да общуват с тях с помощта на програма за съобщения, наречена Surespot. “

Това бе последвано през май от новинарски канал на Канал 4,

„Боевиците и поддръжниците на ISIS се стичат до приложения за криптирани съобщения и представляват предизвикателство за службите за сигурност, които казват, че губят способността да прихващат данни от заподозрени в терор. Разследване от Channel 4 News може да разкрие мащаба на използването на едно такова криптирано приложение за месинджър, което функционира като WhatsApp или Facebook Messenger, но с много високи нива на сигурност. Поне 115 души, свързани с ISIS, изглежда са използвали популярното приложение Surespot през последните шест месеца, установи разследването. "

Следователно не е изненадващо, че приложението може да е предизвикало интереса на разузнавателните организации, но изглежда нещата може да са прогресирали по-нататък ...

Родителската компания на Surespot 2fours беше управлявана от Cherie Berdovich и Adam Patacchiola (въпреки че Daily Mail съобщава, че Бердович е напуснал „миналото лято.“) За разлика от някои уебсайтове за продукти за сигурност, Surespot не разполага със заповед за канали, така че Джордж Машке, бивш офицер от армейското разузнаване и потребителят на Surespot, се свързаха с Бердович и Патакиола през май миналата година с течащите въпроси,

„1 - Получили ли сте някога писмо за национална сигурност?

2 - Получили ли сте някога съдебна заповед за информация?

3 - Получихте ли някога друго искане за сътрудничество с правителствена агенция? "

Той получи отговор от Бердович, казвайки,

„[A] отговор на всички въпроси е не.“

Maschke пише отново през ноември 2014 г., задавайки същите три въпроса, и получи отговор от Patacchiola (който програмира приложението),

„1 и 2, все още не, 3 получихме имейл с искане как да му изпратим призовка, която все още не сме получили.“

Ясно заинтригуван от този отговор, на следващия ден Машке отново изпрати имейл, за да попита „коя агенция или организация търси подробности за това как да подаде призовка.“ По-скоро притеснително, той не получи отговор. Той също така не получи отговор, когато изпрати същите въпроси през април 2015 г. и когато изпрати следните въпроси през май,

  1. „Получи ли е 2 четвърти правителствено искане за информация за всеки от своите потребители?
  2. Получи ли 2 четвърти правителствено искане за модифициране на съответния клиентски софтуер?
  3. Получи ли 2fours правителство искане за модифициране на софтуера на съответния сървър? Получи ли 2 четвърти други правителствени искания за улесняване на електронното подслушване от всякакъв вид?
  4. Ако отговорът на който и да е от горните въпроси е „да“, можете ли да уточните? “

По-нататъшните опити да се свържат с Бердович и Патакиола чрез приложението Surespot също срещнаха без отговор.

През юни председателят Майкъл Маккъл каза на изслушването на Комитета по вътрешна сигурност,

„Мобилни приложения като Kik и WhatsApp, както и приложения за унищожаване на данни като Wickr и Surespot, позволяват на екстремистите да комуникират извън гледката на органите на реда.“

По-късно на изслушване, когато го попитаха дали ФБР настоява за криптиране на „задните врати“ в софтуер като Surespot, помощник-директорът на ФБР за борба с тероризма Майкъл Щайнбах каза „Не“, но,

„Говоря за отиване до компаниите, които след това биха могли да ни помогнат да получим некриптирана информация. И частта за приписване - важно е да се разбере, че в зависимост от използваната технология, това - и това, честно казано, изисква технологична дискусия - се използват маркери, които не позволяват приписване. Така че не е толкова просто, колкото просто използването на други техники или приписване. Понякога това приписване не е там. "

Хм ... това звучи подозрително, сякаш подобно на Ладар Левисън от Лавабит, на Суреспот е издадена заповед по Закона за патриотите, като се изисква тя да си сътрудничи с властите, като същевременно се добавя и заповед за обръщане, за да се предотврати стопаните от болка в затвора от предупреждавайки своите потребители за факта.

Докато г-н Levison успя да закрие компанията си и по този начин да защити клиентите си, тази опция вероятно нямаше да бъде достъпна за Patacchiola (Самият Levison беше заплашен с арест заради действията си.)

Разбира се, всяка такава спекулация от наша страна е просто това - чиста спекулация.

На теория фактът, че Surespot използва криптиране от край до край, би трябвало да направи невъзможно да шпионира комуникациите на потребителите, дори ако 3fours наистина е компрометиран. Неуспехът на приложението да приложи Perfect Forward Secret може да предостави начин за декриптиране на съобщенията на потребителите, а количеството метаданни, съхранявани в базата данни Surespot, може да осигури на противника ценни указания за идентичността на потребителите.

Ако се притесняваме от шпиониране на комуникациите ни, може да се изкушим да потърсим другаде място за сигурно приложение за съобщения ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me