De versleutelde chat-app Threema heeft een audit uit laten voeren op de code van de app. Daarin zijn geen grote kwetsbaarheden gevonden. De audit is een eerste stap richting het opensource beschikbaar maken van de volledige code.
Threema liet de audit uitvoeren door het Duitse pentestbedrijf Cure53. Het bedrijf concludeert in het eindrapport dat de codebase van Threema 'alleen maar beschreven kan worden als ongebruikelijk solide'. De pentesters ontdekten zeven kleine kwetsbaarheden binnen de scope van het onderzoek. Die zouden geen direct gevaar opleveren voor de betrouwbaarheid van de app.
Wel merken de onderzoekers op dat de app op met name Android zo complex is dat 'een grondige securityanalyse onrealistisch is'. "Het is dan ook van groot belang om te zeggen dat dit beveiligingsonderzoek niet als exhaustive moet worden gezien", staat in het rapport. Voor de iOS-app geldt wel dat de app een 'stevige cryptografische integratie' heeft, en dat de app moeilijk aan te vallen is.
De audit is een nieuwe stap richting het opensource maken van de app. Threema kondigde in september al aan dat het de code volledig beschikbaar wil maken, maar wilde daarvoor wel eerst een audit doen. "Enkel de software openbaar maken garandeert niet dat experts de moeite nemen de code systematisch te bekijken. Software van Threema's grootte vereist namelijk niet alleen technische kennis, maar ook veel tijd." Het is overigens niet de eerste audit van het bedrijf. In maart 2019 liet het de code ook al bekijken door de Universiteit van Münster.