Das von vielen Journalisten und Aktivisten verwendete Chat-Programm Cryptocat, ermöglicht seinen Nutzern einen sicheren Online-Chat durch Nachrichten-Verschlüsselung. Doch nun wurde bekannt, dass das Chatten durch eine etwa sieben Monate unentdeckt gebliebene Sicherheitslücke ganz und gar nicht sicher war.

Die Verschlüsselungsmechanismen des Programms seien vergleichsweise simpel zu dekodieren gewesen. Der Hersteller entschuldigte sich bei allen Betroffenen und bietet mittlerweile mit der aktuellen Version Cryptocat 2.0.42 einen erhöhten Schutz gegen Dekodierungsversuche an.

Es hieß hierzu, dass es wesentlich schwieriger sein würde und auch sehr viel länger dauern würde, diese Version zu knacken. Obwohl der Fehler in der vorgenannten Version bereinigt wurde, empfehlen die Entwickler jedoch dringend auf das Upgrade Cryptocat 2.1.x umzusteigen.

Sicherheitsforscher Adam Caudill empfiehlt Nutzern, sich nicht auf Cryptocat zu verlassen und ihre Unterhaltungen privat zu halten, bis der Code und die Verschlüsselungstechnik gründlich von professionellen Penetrationtests und Kryptographen geprüft wurden.

„Wenn ein solcher Fehler so lange übersehen und zugelassen wurde, existieren sicherlich noch andere Systemschwächen“,

meinte Caudill hierzu. Anwender, die nach einer Alternative zum sicheren Chat suchen, sollten sich eventuell überlegen, stattdessen auf PGP-enrypted-email umzusteigen.

Artikel von arstechnica.com, 05.07.2013: Bad kitty! “Rookie mistake” in Cryptocat chat app makes cracking a snap
Artikel von zdnet.com, 08.07.2013: Encrypted IM app left vulnerable to snooping for 7 months