Surespot 是一款适用于 Android 和 iOS 的开源安全消息传递应用程序。以其使用的强加密(使用 521 位 ECDH 创建的密钥的 56 位 AES-GCM 加密)、对长消息的支持以及自毁消息传递功能而闻名。仅Android版本的安装次数就达到了10万到50万次。在去年关于 WhatsApp 安全替代方案的综述中,我们得出的结论是,
'SureSpot 不支持完美前向保密(尽管更偏执的人可以随时生成新密钥),并且存在已知的 MiTM 攻击漏洞,但总的来说,它是一个非常安全且易于使用的应用程序。'
然而,当英国《每日邮报》
'据《每日邮报》透露,英国圣战新娘正在使用由极左翼活动分子运行的手机应用程序在网上进行培养。在 Twitter 上对她们进行洗脑后,伊斯兰国招募人员告诉这些年轻女孩使用名为 Surespot 的消息传递程序与她们交流。'
随后 5 月份,第四频道发布了一条新闻,
'伊斯兰国武装分子和支持者纷纷涌向加密消息应用程序,这对安全部门构成了挑战,安全部门表示,他们正在失去拦截恐怖嫌疑人数据的能力。 Channel 4 News 的一项调查可以揭示此类加密通讯应用程序的使用规模,该应用程序的功能类似于 WhatsApp 或 Facebook Messenger,但安全级别非常高。调查发现,在过去六个月中,至少有 115 名与 ISIS 有联系的人似乎使用过流行的应用程序 Surespot。'
因此,该应用程序可能引起了情报组织的兴趣也就不足为奇了,但事情似乎可能已经取得了进一步的进展……
Surespot 的母公司 2fours 由 Cherie Berdovich 和 Adam Patacchiola 经营(尽管《每日邮报》报道 Berdovich “去年夏天”离开)。与一些安全产品网站不同,Surespot 不运营授权金丝雀,因此前陆军情报官员和 Surespot 用户 George Maschke 在去年 5 月联系了 Berdovich 和 Patacchiola,提出了以下问题:
'1 – 您是否收到过国家安全信?
2 – 您是否曾收到过法庭要求提供信息的命令?
3 – 您是否曾收到过与政府机构合作的任何其他请求?'
他收到了贝尔多维奇的回复说:
“所有问题的答案都是否定的。”
Maschke 于 2014 年 11 月再次写信询问同样的三个问题,并收到了 Patacchiola(该应用程序的编程者)的回复,
'1和2,仍然没有,3我们收到了一封电子邮件,询问我们如何向我们提交传票,但我们尚未收到。'
马施克显然对这个答案很感兴趣,第二天他再次发邮件询问“哪个机构或组织正在寻求有关如何提交传票的详细信息”。令人担忧的是,他没有收到任何回复。当他在 2015 年 4 月发送同样的问题时,以及当他在 5 月发送以下问题时,也没有收到回复:
- '2fours 是否收到过任何政府要求提供有关其任何用户信息的信息?
- 2fours 是否收到任何政府要求修改 Surespot 客户端软件的要求?
- 2fours 是否收到任何政府要求修改 Surespot 服务器软件的要求?2fours 是否收到任何其他政府要求以促进任何类型的电子窃听?
- 如果上述任何一个问题的答案是肯定的,您能详细说明一下吗?'
通过 Surespot 应用程序进一步尝试联系 Berdovich 和 Patacchiola 也没有得到回应。
六月,主席迈克尔·麦考尔在国土安全委员会听证会上表示,
'Kik 和 WhatsApp 等移动应用程序以及 Wickr 和 Surespot 等数据销毁应用程序允许极端分子在执法部门视线之外进行交流。'
后来在听证会上,当被问及联邦调查局是否正在推动 Surespot 等软件中的加密“后门”时,联邦调查局反恐助理局长迈克尔·斯坦巴赫 (Michael Steinbach) 说“不”,但是,
'我说的是去找那些可以帮助我们获取未加密信息的公司。归属部分 - 重要的是要理解,根据所涉及的技术,这 - 坦率地说,这需要进行技术讨论 - 有些使用的令牌不允许归属。因此,这并不像使用其他技术或归因那么简单。有时,这种归因并不存在。'
嗯……这听起来很可疑,就像 Lavabit 的 Ladar Levison 一样,Surespot 已根据《爱国者法案》获得了逮捕令,要求其与当局合作,同时还添加了一项禁言令,以防止所有者提醒用户这一事实,否则将被处以监禁。
虽然莱维森先生能够关闭他的公司,从而保护他的客户,但帕塔基奥拉可能无法选择这种选择(莱维森本人也因自己的行为而受到逮捕的威胁。)
当然,我们的任何此类猜测都只是纯粹的猜测。
从理论上讲,Surespot 使用端到端加密的事实应该使其无法监视用户的通信,即使 3fours 确实已受到损害。该应用程序未能实现完美前向保密可能然而,Surespot 提供了一种解密用户消息的方法,并且存储在 Surespot 数据库中的元数据量可以为对手提供有关用户身份的宝贵线索。
如果我们担心我们的通信被监视,我们可能会忍不住去其他地方寻找安全的消息应用程序......