Über die Website des Anbieters lassen sich Threema-IDs widerrufen. Version 2.21 für Android ist dies nur mit dem in der App festgelegten Widerrufspasswort möglich. Eine Gruppenchat-Funktion für bis zu 256 Teilnehmer ist in den aktuellen Versionen für alle Betriebssysteme verfügbar.

Dezember 2018 veröffentlichte Threema eine neue Variante zur Datensicherung unter dem Namen „Threema Safe“, zunächst nur für die Android-Version. Dieses ersetzt die bei Android zuvor verwendete Integration in das Android-System-Backup, die nach Aussagen von Threema nicht zuverlässig funktionierte. Das neue Backup-System führt einmal am Tag automatisch eine Sicherung der Threema-ID, Kontakte, einiger Threema-Einstellungen und weiterer Daten durch. Das Backup wird dabei komprimiert und mittels der NaCl-Bibliothek verschlüsselt, bevor es standardmäßig zu einem Server von Threema hochgeladen wird. Der dabei genutzte Schlüssel zur Verschlüsselung wird aus einem mindestens 8-stelligen Passwort des Nutzers sowie der Threema-ID mittels scrypt generiert.

Gruppenchat

Februar 2017 wurde Threema Web offiziell veröffentlicht. Damit können http://driversol.com/de/drivers/audio-cards Nutzer der Android-App (ab Version 3.0) Nachrichten über den Computer versenden. Es erfolgt eine vollständige Synchronisation aller Nachrichten mit der Android-App. Die Unterstützung für iOS folgte im Oktober 2018. /) ist ein freier Ende-zu-Ende-verschlüsselter Schweizer Instant-Messaging-Dienst zur Nutzung auf Smartphones und Tablets. Beim optionalen Verknüpfen der eigenen Threema-ID mit der E-Mail-Adresse oder Telefonnummer wird nur der SHA-256-HMAC auf dem Server gespeichert.

• Dezember 2020 sind die Threema-Apps für Android und iOS sowie verschiedene Bibliotheken und Serverkomponenten quelloffen.
• Da ein solches externes IT-Sicherheitsaudit versionsgebunden ist, müsste dieses für jede neue Version ebenfalls erneut durchgeführt werden.
• Die Verknüpfung beider Daten zur Threema-ID kann zudem jederzeit entfernt werden.

Es sollte beachtet werden, dass das Backup nicht die Chatverläufe und Medien sichert und so gewöhnlich auch nur einige Kilobyte groß ist. Die Möglichkeit des lokalen Datenbackups in einer ZIP-Datei , sowie des alleinigen Backups der eigenen ID bleibt dabei erhalten. Threema Web ist mit der Android-App ab der Version 3.0 sowie der iOS-App ab Version 4.0 nutzbar. Als Browser werden aktuelle Browser-Versionen empfohlen, wobei Safari nur mit der iOS-Version der App funktioniert.

Sicherheit

Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess. Ende 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden. 2019 wurde durch das Labor für IT-Sicherheit der FH Münster erneut ein Audit durchgeführt. Dabei wurde – im Gegensatz zum ersten Test – der gesamte Audit-Report veröffentlicht. Die Tester fanden dabei in den Android- und iOS-Apps des Unternehmens einige wenige unkritische Schwachstellen („low to medium risk“), merkten allerdings an, dass diese schnell behoben wurden. Vor Veröffentlichung des Quellcodes ließ Threema erneut einen externen Audit vom deutschen Unternehmen Cure53 durchführen.

Die entstandene Ausgabe wird dabei teilweise als Dateiname genutzt, sodass der Server (oder ein Angreifer, der die Daten herunter lädt) das hochgeladene Backup keiner Threema-ID zuordnen kann. Außerdem sollte der Server die Anfragen auf die Dateien limitieren, um Brute-Force-Angriffe, die zum Download der Datei führen könnten, zu erschweren. Das Backup soll plattformübergreifend funktionieren und so beispielsweise auch bei einem Wechsel des Betriebssystems eine Wiederherstellung des Backups nur mit der Threema-ID sowie dem gewählten Passwort möglich sein. Im Dezember 2020 jedoch ist Threema Open-Source-Software geworden, sodass dieser Kritikpunkt hinfällig geworden ist und sich jeder technisch qualifizierte Interessent inzwischen selbst von der Sicherheit der Implementierung überzeugen kann. Alternativ kann die Sicherheit beispielsweise durch ein unabhängiges externes IT-Sicherheitsaudit überprüft werden. Da ein solches externes IT-Sicherheitsaudit versionsgebunden ist, müsste dieses für jede neue Version ebenfalls erneut durchgeführt werden.

Seit Dezember 2018 (ab Version 3.6 Android und Version 4.1 für iOS) wird mit Threema Safe eine eigene anonyme Backup-Lösung angeboten. Diese sichert plattformunabhängig Threema-ID, Kontakte und Gruppen verschlüsselt auf dem Threema-Server bzw. Auf Wunsch auch auf einem gewählten Server des Nutzers, siehe den Abschnitt zu „Threema Safe“. Weiterhin ist die Kommunikation zwischen dem Threema-Server und dem Endgerät ebenfalls verschlüsselt. Ein 128 Bit langer Verifikationscode sowie eine zufällige Anzahl an „kryptographischen Füllbytes“ werden zu jeder Nachricht hinzugefügt, um Manipulationen am Inhalt der Nachricht zu verhindern.