Ein kleines internationales Informationssicherheits-Forschungsteam hat eine ausführliche Sicherheitsanalyse bei dem weltweit sehr beliebten Telegram-Messenger durchgeführt. Die Kryptologen der ETH Zürich und des Royal Holloway College (Universität von London) konnten mehrere Schwachstellen identifizieren. Eine unmittelbare Gefahr für die meisten der über 570 Millionen Telegram-Nutzer besteht aber nicht.
Beteiligt an dieser Untersuchung der Verschlüsselungsdienste von Telegram waren Professor Kenny Paterson und Dr. Igors Stepanovs von der ETH Zürich und Professor Martin Albrecht und Doktorandin Lenka Mareková von der Universität von London. Eines sollte man gleich vorwegsagen: Eine ausführliche kryptografische Sicherheitsanalyse von einem Messenger dieser Grössenordnung war mehr als überfällig. Die vier von den Kryptologen gefundenen kryptografischen Schwachstellen machen sehr deutlich, dass das System von Telegram den Sicherheitsstandards anderer und oft genutzter Verschlüsselungsprotokolle wie beispielsweise der Transport Layer Security (TLS) ganz klar unterlegen ist.
Bei der ersten hier beschriebenen Sicherheitslücke geht es darum, dass Angreifer im Netzwerk die Abfolge der Nachrichten manipulieren können, die vom Client an einen der von Telegram weltweit betriebenen Cloud-Server gesendet werden. Die Kryptologen der ETH Zürich stellen fest: «Wenn also jemand die Reihenfolge der Nachrichten ‹Ich sage `ja` zu?, ‹Pizza!›, ‹Ich sage `nein, zu, Verbrechen`› verändern kann, könnte aus dem ‹Ja› zum Pizza essen plötzlich ein ‹Ja› zu einem Verbrechen werden.» Die zweite bei der Sicherheitsanalyse gefundene Schwachstelle ist zwar nur theoretischer Natur, erwähnen muss man sie aber trotzdem. Ein Netzwerkangreifer könnte demnach theoretisch herausfinden, welche von zwei Nachrichten von einem Client oder von einem Server verschlüsselt ist. Zugegeben klingt das jetzt erst einmal ziemlich dramatisch. Allerdings würde es einen enormen Aufwand für Angreifer bedeuten, diese in der Sicherheitsanalyse gefundene Schwachstelle auszunutzen. Gemäss den Sicherheitsexperten müsste ein Angreifer dafür zuerst Millionen sorgfältig erstellter Nachrichten an sein Ziel senden und dabei winzigste Unterschiede in der Zustelldauer der jeweiligen Antworten ermitteln. Die Wissenschaftler sind sich dennoch sicher, dass man auch diese kryptografische Schwachstelle unbedingt ernst nehmen muss.
Wäre ein so gearteter Angriff jedoch erfolgreich, hätte dies verheerende Folgen für die Vertraulichkeit der Telegram-Nachrichten und natürlich für deren Nutzerinnen und Nutzer.
In der letzten gefundenen Sicherheitslücke geht es um den sehr wichtigen Schlüsselaustausch zwischen User-Client und Telegram-Server. Da von Telegram standardmässig keine «End-to-End» Verschlüsselung bereitgestellt wird, ist gerade diese Verbindung für jeden Nutzer der Messenger-Plattform sehr wichtig. Denn bei einem erfolgreichen Angriff, so stellen die Kryptologen fest, könnte sowohl die Vertraulichkeit als auch die Integrität unserer Kommunikation nachhaltig verletzt werden. Allerdings sagen auch hier die Wissenschaftler, dass ein aktives Ausnutzen dieser Sicherheitslücke sehr schwierig wäre:
Zum Glück ist auch diese Angriffsmethode relativ schwer durchführbar, da der Angreifer dazu in Minuten Milliarden von Nachrichten an einen Telegram-Server schicken müsste.
Das Forscherteam hat wie sonst auch üblich, den Messenger 90 Tage vor der Veröffentlichung der von ihnen gefundenen Sicherheitslücken informiert. Telegram hat mittlerweile auf die gemeldeten Sicherheitsprobleme reagiert und diese mit regulären Software-Updates behoben. Wie schon zu Anfang erwähnt, besteht laut der Experten keine unmittelbare Gefahr für die meisten der weltweit über 570 Millionen Telegram-Nutzer. Laut der Forscher offenbart der Vorfall auch ein zweifelhaftes Vorgehen der Telegramentwickler beim Patchen von solchen Problemen. Zitat (übersetzt) aus dem Blogpost:
Wir wurden von den Telegram-Entwicklern darüber informiert, dass sie keine dedizierten Sicherheits- oder Bugfix-Releases durchführen. Einzige Ausnahme sind Hotfixes für ein vorangegangenes fehlerhaftes Update. Das Entwicklerteam teilte uns auch mit, dass sie zum Zeitpunkt des Patchings keine Sicherheitshinweise herausgeben und sich auch nicht auf ein Veröffentlichungsdatum für bestimmte Korrekturen festlegen wollten. Als Konsequenz wurden die Fixes als Teil der regulären Telegram-Updates ausgerollt.
“We were informed by the Telegram developers that they do not do security or bugfix releases except for immediate post-release crash fixes. The development team also informed us that they did not wish to issue security advisories at the time of patching…” https://t.co/2eETQyOwBg
— Nicholas J. Percoco (@c7five) July 16, 2021
Laut Telegram selbst waren die Sicherheitslücken nicht kritisch. Vielleicht erklärt es auch das Vorgehen bei den genannten Lücken. Telegram dazu hat noch einen Blogpost veröffentlicht, der im Detail auf die aufgedeckten Probleme eingeht.
Unseren Kanal auf Telegram findet ihr übrigens unter: https://t.me/dravenstales
Mehr für dich:
«Dravens Tales from the Crypt» bezaubert seit über 15 Jahren mit einer geschmacklosen Mischung aus Humor, seriösem Journalismus – aus aktuellem Anlass und unausgewogener Berichterstattung der Presse Politik – und Zombies, garniert mit jeder Menge Kunst, Entertainment und Punkrock. Draven hat aus seinem Hobby eine beliebte Marke gemacht, welche sich nicht einordnen lässt.
Mein Blog war niemals darauf ausgelegt Nachrichten zu verbreiten, geschweige denn politisch zu werden, doch mit dem aktuellen Zeitgeschehen kann ich einfach nicht anders, als Informationen, welche sonst auf allen anderen Kanälen zensiert werden, hier festzuhalten. Mir ist dabei bewusst, dass die Seite mit dem Design auf viele diesbezüglich nicht «seriös» wirkt, ich werde dies aber nicht ändern, um den «Mainstream» zu gefallen. Wer offen ist, für nicht staatskonforme Informationen, sieht den Inhalt und nicht die Verpackung. Ich habe die letzten 2 Jahre genügend versucht, Menschen mit Informationen zu versorgen, dabei jedoch schnell bemerkt, dass es niemals darauf ankommt, wie diese «verpackt» sind, sondern was das Gegenüber für eine Einstellung dazu pflegt. Ich will niemandem Honig ums Maul schmieren, um auf irgendwelche Weise Erwartungen zu erfüllen, daher werde ich dieses Design beibehalten, denn irgendwann werde ich diese politischen Statements hoffentlich auch wieder sein lassen können, denn es ist nicht mein Ziel, ewig so weiterzumachen 
Ich überlasse es jedem selbst, wie er damit umgeht. Gerne dürfen die Inhalte aber auch einfach kopiert und weiterverbreitet werden, mein Blog stand schon immer unter der WTFPL-Lizenz.
Es fällt mir schwer zu beschreiben, was ich hier eigentlich tue, DravensTales wurde im Laufe der Jahre Kulturblog, Musikblog, Schockblog, Techblog, Horrorblog, Funblog, ein Blog über Netzfundstücke, über Internet-Skurrilitäten, Trashblog, Kunstblog, Durchlauferhitzer, Zeitgeist-Blog, Schrottblog und Wundertütenblog genannt. Was alles etwas stimmt… – und doch nicht. Der Schwerpunkt des Blogs ist zeitgenössische Kunst, im weitesten Sinne des Wortes.
Um den Betrieb der Seite zu gewährleisten könnt ihr gerne eine Spende per Kreditkarte, Paypal, Google Pay, Apple Pay oder Lastschriftverfahren/Bankkonto zukommen lassen. Vielen Dank an alle Leser und Unterstützer dieses Blogs!
