Surespot 是一款適用於 Android 和 iOS 的開源安全消息傳遞應用程序。以其使用的強加密(使用 521 位 ECDH 創建的密鑰的 56 位 AES-GCM 加密)、對長消息的支持以及自毀消息傳遞功能而聞名。僅Android版本的安裝次數就達到了10萬到50萬次。在去年關於 WhatsApp 安全替代方案的綜述中,我們得出的結論是,
'SureSpot 不支持完美前向保密(儘管更偏執的人可以隨時生成新密鑰),並且存在已知的 MiTM 攻擊漏洞,但總的來說,它是一個非常安全且易於使用的應用程序。'
然而,當英國《每日郵報》
'據《每日郵報》透露,英國聖戰新娘正在使用由極左翼活動分子運行的手機應用程序在網上進行培養。在 Twitter 上對她們進行洗腦後,伊斯蘭國招募人員告訴這些年輕女孩使用名為 Surespot 的消息傳遞程序與她們交流。'
隨後 5 月份,第四頻道發布了一條新聞,
'伊斯蘭國武裝分子和支持者紛紛湧向加密消息應用程序,這對安全部門構成了挑戰,安全部門表示,他們正在失去攔截恐怖嫌疑人數據的能力。 Channel 4 News 的一項調查可以揭示此類加密通訊應用程序的使用規模,該應用程序的功能類似於 WhatsApp 或 Facebook Messenger,但安全級別非常高。調查發現,在過去六個月中,至少有 115 名與 ISIS 有聯繫的人似乎使用過流行的應用程序 Surespot。'
因此,該應用程序可能引起了情報組織的興趣也就不足為奇了,但事情似乎可能已經取得了進一步的進展……
Surespot 的母公司 2fours 由 Cherie Berdovich 和 Adam Patacchiola 經營(儘管《每日郵報》報導 Berdovich “去年夏天”離開)。與一些安全產品網站不同,Surespot 不運營授權金絲雀,因此前陸軍情報官員和 Surespot 用戶 George Maschke 在去年 5 月聯繫了 Berdovich 和 Patacchiola,提出了以下問題:
'1 – 您是否收到過國家安全信?
2 – 您是否曾收到過法庭要求提供信息的命令?
3 – 您是否曾收到過與政府機構合作的任何其他請求?'
他收到了貝爾多維奇的回复說:
“所有問題的答案都是否定的。”
Maschke 於 2014 年 11 月再次寫信詢問同樣的三個問題,並收到了 Patacchiola(該應用程序的編程者)的回复,
'1和2,仍然沒有,3我們收到了一封電子郵件,詢問我們如何向我們提交傳票,但我們尚未收到。'
馬施克顯然對這個答案很感興趣,第二天他再次發郵件詢問“哪個機構或組織正在尋求有關如何提交傳票的詳細信息”。令人擔憂的是,他沒有收到任何回复。當他在 2015 年 4 月發送同樣的問題時,以及當他在 5 月發送以下問題時,也沒有收到回复:
- '2fours 是否收到過任何政府要求提供有關其任何用戶信息的信息?
- 2fours 是否收到任何政府要求修改 Surespot 客戶端軟件的要求?
- 2fours 是否收到任何政府要求修改 Surespot 服務器軟件的要求?2fours 是否收到任何其他政府要求以促進任何類型的電子竊聽?
- 如果上述任何一個問題的答案是肯定的,您能詳細說明一下嗎?'
通過 Surespot 應用程序進一步嘗試聯繫 Berdovich 和 Patacchiola 也沒有得到回應。
六月,主席邁克爾·麥考爾在國土安全委員會聽證會上表示,
'Kik 和 WhatsApp 等移動應用程序以及 Wickr 和 Surespot 等數據銷毀應用程序允許極端分子在執法部門視線之外進行交流。'
後來在聽證會上,當被問及聯邦調查局是否正在推動 Surespot 等軟件中的加密“後門”時,聯邦調查局反恐助理局長邁克爾·斯坦巴赫 (Michael Steinbach) 說“不”,但是,
'我說的是去找那些可以幫助我們獲取未加密信息的公司。歸屬部分 - 重要的是要理解,根據所涉及的技術,這 - 坦率地說,這需要進行技術討論 - 有些使用的令牌不允許歸屬。因此,這並不像使用其他技術或歸因那麼簡單。有時這種歸因並不存在。'
嗯……這聽起來很可疑,就像 Lavabit 的 Ladar Levison 一樣,Surespot 已根據《愛國者法案》獲得了逮捕令,要求其與當局合作,同時還添加了一項禁言令,以防止所有者提醒用戶這一事實,否則將被處以監禁。
雖然萊維森先生能夠關閉他的公司,從而保護他的客戶,但帕塔基奧拉可能無法選擇這種選擇(萊維森本人也因自己的行為而受到逮捕的威脅。)
當然,我們的任何此類猜測都只是純粹的猜測。
從理論上講,Surespot 使用端到端加密的事實應該使其無法監視用戶的通信,即使 3fours 確實已受到損害。該應用程序未能實現完美前向保密可能然而,Surespot 提供了一種解密用戶消息的方法,並且存儲在 Surespot 數據庫中的元數據量可以為對手提供有關用戶身份的寶貴線索。
如果我們擔心我們的通信被監視,我們可能會忍不住去其他地方尋找安全的消息應用程序......