image

Experts: Adium en Pidgin ongeschikt voor veilig chatten

vrijdag 5 februari 2016, 15:31 door Redactie, 6 reacties

De chatprogramma's Adium en Pidgin zijn ongeschikt om veilig mee te chatten, zo stellen verschillende experts. Eind januari verscheen er sinds 19 maanden een beveiligingsupdate voor Adium. Begin januari van dit jaar kwam er ook een update voor Pidgin uit, maar de update daarvoor dateert ook van 2014.

Adium voor de Mac en Pidgin voor Linux en Windows worden vaak aangeraden omdat ze de Off-the-Record (OTR)-plug-in ondersteunen. Met deze plug-in kan er versleuteld worden gecommuniceerd. Beide chatprogramma's werden in combinatie met OTR onder andere door de Amerikaanse burgerrechtenbeweging EFF aangeraden. Volgens Christopher Soghoian, technoloog van de Amerikaanse burgerrechtenbeweging ACLU, zijn beide programma's nooit echt met veiligheid in het achterhoofd ontwikkeld, zo laat hij aan Vice Magazine weten.

Journalist Micah Lee van The Intercept waarschuwde in 2013 al dat Pidgin van verschillende softwarebibliotheken gebruik maakt, waaronder 'libpurple', die vol ernstige bugs zitten. Reden voor hem om op een ander programma over te stappen. Volgens Pidgin-ontwikkelaar Ethan Blanton bevat de libpurple-bibliotheek niet meer bugs dan een andere willekeurige instant messaging-bibliotheek.

Toch adviseert cryptografieprofessor Matthew Green om Signal voor versleutelde communicatie te gebruiken. "Ik gebruik Adium voor zaken die ik niet belangrijk vind. Ik gebruik Signal omdat het waarschijnlijk veel veiliger is." Volgens Soghoian hebben desktopgebruikers op dit moment echter weinig te kiezen. Het Tor Project werkt wel aan een chatprogramma, maar dat bevindt zich nog in de betafase.

Reacties (6)
05-02-2016, 16:45 door Anoniem
Weinig te kiezen ? lol
Het gaat er om welke hoeveelheid hij als "weinig" ziet, dat had ie er even bij moeten zetten.
Maar niet doen natuurlijk, want dan kan je op een fout gewezen worden.
05-02-2016, 17:01 door Anoniem
Probeer TOX (tox.im)
05-02-2016, 17:52 door Anoniem
https://ricochet.im: zonder het lekken van meta-data en zonder centrale server. E2E en authenticated. Hopelijk ook een iets minder rotte codebase dan libpurple.
05-02-2016, 22:51 door Anoniem
Guess what?

Mac OS X Sparkle framework dingetje
https://www.security.nl/posting/459438/Updatesysteem+Mac-applicaties+kwetsbaar+voor+MiTM-aanval
Waar zij op zich niets aan kunnen doen.

Een downloadje van Adium gedaan via https://adium.im/ (zou het de echte website zijn?)

De app betreft:
Version : 1.5.10.1
DMG Created: vrijdag 29 januari 2016 Week 04 21:14
Versie (als ik juist kijk) : 1.13.1
Beschermt tegen het Sparkle updater lek (als ik me niet vergis)
https://github.com/sparkle-project/Sparkle/blob/master/CHANGELOG

Maar, en versie 1.14.0 is inmiddels available en nog niet verwerkt in wat men aanbiedt.

Hoe zou het staan met die andere indrukwekkende lijst aan meegeleverde frameworks die in de app te vinden zijn?
Hopelijk ook allemaal up to date en niet uit te buiten.

Inhoud:
Adium.framework
AdiumLibpurple.framework
AIUtilities.framework
AutoHyperlinks.framework
FriBidi.framework
Growl.framework
libffi.framework
libgcrypt.framework
libglib.framework
libgmodule.framework
libgobject.framework
libgpgerror.framework
libgthread.framework
libintl.framework
libjson-glib.framework
libmeanwhile.framework
libotr.framework
libpurple.framework (deze dus niet volgens het bericht!)
LMX.framework
PSMTabBarControl.framework
ShortcutRecorder.framework
Sparkle.framework

Ja je geeft jezelf wel een hoop werk als je een programma maakt dat zo sterk leunt op code/frameworks van anderen.
Ik zie het niet vaak zo'n lange lijst.
Maar misschien is die afhankelijk wel een algemeen ding voor developers, zeker als je iets gratis wil aanbieden?

Is de app dan niet geschikt of is zij pas niet geschikt als de developers achterlopen met updates?
Opletten geblazen, dat in ieder geval wel.
06-02-2016, 14:44 door Anoniem
Op hoop en aanname maak je de wereld niet veiliger. Met ongefundeerd roepen dat het onveilig is ook niet. Toon onveiligheid aan in plaats van mensen bang te maken.
“I use Adium for things I don't care about. I use Signal because it's probably a lot safer,”
08-02-2016, 12:34 door Anoniem
Door Anoniem: Probeer TOX (tox.im)

Ik probeer uberhaupt de website te bereiken maar dat wordt al lastig aangezien cloudflare zegt dat de host er uit ligt:

Error 522 Ray ID: 26e37ee8f7fb2b70 • 2016-02-02 05:29:15 UTC
Connection timed out
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.