Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess. Ende 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden. 2019 wurde durch das Labor für IT-Sicherheit der FH Münster erneut ein Audit durchgeführt. Dabei wurde – im Gegensatz zum ersten Test – der gesamte Audit-Report veröffentlicht. Die Tester fanden dabei in den Android- und iOS-Apps des Unternehmens einige wenige unkritische Schwachstellen („low to medium risk“), merkten allerdings an, dass diese schnell behoben wurden. Vor Veröffentlichung des Quellcodes ließ Threema erneut einen externen Audit vom deutschen Unternehmen Cure53 durchführen.
Über die Website des Anbieters lassen sich Threema-IDs widerrufen. Version 2.21 für Android ist dies nur mit dem in der App festgelegten Widerrufspasswort möglich. Eine Gruppenchat-Funktion für bis zu 256 Teilnehmer ist in den aktuellen Versionen für alle Betriebssysteme verfügbar.
Sicherheit
Bei Gruppenchats wird die Nachricht für jeden Empfänger separat verschlüsselt und einzeln zugestellt. Die Threema-Server können dadurch weder nachvollziehen, welche Gruppen es gibt, noch wer Mitglied in einer Gruppe ist. Medien werden dagegen verschlüsselt einmalig auf die Threema-Server hochgeladen. Der symmetrische Schlüssel zum Entschlüsseln des Mediums wird danach wie eine normale Nachricht an alle Gruppenmitglieder verschickt, welche diese entschlüsseln, das Medium herunterladen und danach die Datei entschlüsseln. (Dies ist der offizielle Fork, wie auf der offiziellen Threema Gateway-Seite verlinkt, eine veraltete Version ist ebenfalls auf GitHub zu finden).
- Anfang 2022 gab auch die Schweizer Armee bekannt, dass zukünftig für die dienstliche Kommunikation ausschließlich Threema verwendet werden soll.
- Juni 2021 hat Threema auf Twitter verkündet, dass sie jetzt über 10 Mio.
- Gleichzeitig wurde das Produktportfolio vereinfacht, sodass es, außer für NGOs und Bildungsinstitutionen, nur noch Angebote mit periodischer Zahlung gibt.
Februar 2017 wurde Threema Web offiziell veröffentlicht. Damit können Nutzer der Android-App (ab Version 3.0) Nachrichten über den Computer versenden. Es erfolgt eine vollständige Synchronisation aller Nachrichten mit der Android-App. Die Unterstützung für iOS folgte im treiber herunterladen Oktober 2018. /) ist ein freier Ende-zu-Ende-verschlüsselter Schweizer Instant-Messaging-Dienst zur Nutzung auf Smartphones und Tablets. Beim optionalen Verknüpfen der eigenen Threema-ID mit der E-Mail-Adresse oder Telefonnummer wird nur der SHA-256-HMAC auf dem Server gespeichert.
Datenschutz
Seit Dezember 2018 (ab Version 3.6 Android und Version 4.1 für iOS) wird mit Threema Safe eine eigene anonyme Backup-Lösung angeboten. Diese sichert plattformunabhängig Threema-ID, Kontakte und Gruppen verschlüsselt auf dem Threema-Server bzw. Auf Wunsch auch auf einem gewählten Server des Nutzers, siehe den Abschnitt zu „Threema Safe“. Weiterhin ist die Kommunikation zwischen dem Threema-Server und dem Endgerät ebenfalls verschlüsselt. Ein 128 Bit langer Verifikationscode sowie eine zufällige Anzahl an „kryptographischen Füllbytes“ werden zu jeder Nachricht hinzugefügt, um Manipulationen am Inhalt der Nachricht zu verhindern.
Es sollte beachtet werden, dass das Backup nicht die Chatverläufe und Medien sichert und so gewöhnlich auch nur einige Kilobyte groß ist. Die Möglichkeit des lokalen Datenbackups in einer ZIP-Datei , sowie des alleinigen Backups der eigenen ID bleibt dabei erhalten. Threema Web ist mit der Android-App ab der Version 3.0 sowie der iOS-App ab Version 4.0 nutzbar. Als Browser werden aktuelle Browser-Versionen empfohlen, wobei Safari nur mit der iOS-Version der App funktioniert.