Aktivisten in Hong Kong nutzen Telegram, um die Kommunikation vor den neugierigen Blicken der chinesischen Behörden zu schützen. Doch es ...
Aktivisten in Hong Kong nutzen Telegram, um die Kommunikation vor den neugierigen Blicken der chinesischen Behörden zu schützen. Doch es gibt einen Bug in Gruppenchats, indem die Telefonnummern von den Teilnehmern geleakt werden könnten. Dieses Problem ist kein Angriff auf die Verschlüsselung. Aber es zeigt, was passieren kann, wenn die Behörden die Privatsphäre in sicheren Plattformen gefährden können.
Need help from @telegram. We and multiple teams have independently confirmed a serious vulnerability that causes phone numbers to be leaked to members in public groups, regardless of the privacy setting. Telegram is heavily used in #hkprotest, it put HKers in immediate threats
— Chu Ka-cheong (@edwincheese) 23. August 2019
Auf Twitter ersucht der Software-Ingenieur Chu Ka-Cheong die Hilfe von Telegram. Es geht um den Leak der Telefonnummern in Gruppenchats. Trotz der Privatsphären-Einstellungen lässt sich über einen Bug die Telefonnummern aller Teilnehmer herausfinden. Gerade bei den Protesten in Hong Kong wird dieser Bug von den Behörden ausgenutzt.
Telegram Bug wurde in einem Forum veröffentlicht
Der Telegram Bug wurde in einem bekannten Forum veröffentlicht, dass die Demonstranten als Austauschplattform verwenden. Demzufolge ist es möglich, Telefonnummern, die eingespeichert und bereits synchronisiert sind, in einem Gruppenchat zu erkennen.
In dem Beitrag wird dazu aufgerufen, dass sich die Demonstranten die App textnow herunterladen und dort eine Telefonnummer beantragen sollen.
Angabe der Telefonnummer bei Telegram steht nicht im Einklang mit der Privatsphäre
Die Angabe der Telefonnummer war schon immer ein Problem mit der Privatsphäre. Da Telegram die Telefonnummern als eindeutiges Identifikations-Merkmal verwendet. Demzufolge gab es im Jahr 2016 eine ähnliche Aktion im Iran. Dort haben iranische Hacker per Brute-Force-Abfrage 15 Millionen Telefonnummern iranischer Telegram-Nutzer herausgefunden. Es gibt derzeit keinen Lösungsweg für Demonstranten, außer der Umstellung von Telegrammkonten auf anonyme Telefonnummern, die nicht zurückverfolgt werden können.
Es handelt sich um eine Telegram-Funktion und ist keine Schwachstelle
Laut einem Sprecher von Telegram handelt es sich nicht um einen Bug oder einer Schwachstelle, sondern um eine Funktion dieses Messengers. Er hebt dabei hervor, dass es eine dokumentierte Funktion von Telegram sei, wie bei anderen Messengern (WhatsApp) auch. Demnach will Telegram den Nutzern ermöglichen, dass ihre Telefonkontakte zu finden sind in der App. Im Gegensatz zu anderen Messengern bietet Telegram dennoch die Option, dass man die Synchronisierung der Kontakte deaktivieren kann.
Regierung unterstützt Hacker
“We have suspected that some government-sponsored attackers have exploited this bug and use it to target Hong Kong protesters” – Chu Ka-cheong
Laut Chu Ka-cheong soll die Regierung Hacker unterstützen, die dabei helfen Demonstranten über diesen Bug zu identifizieren. Doch laut Telegram, soll der Umgang mit Telefonnummern in Gruppen bereits privater sein, als bei anderen Messengern. Aus diesem Grund will Telegram den Schutz ihrer APIs verbessern, um so „Massenimportversuche“ zu stoppen. Demzufolge laufen aktuell weitere Tests, indem die Ingenieure diese nach dem 85. Abfrageversuch abgebrochen haben. Des Weiteren versuchte China bereits im Juni mit einer Distributed-Denial-of-Service attack, die Server von Telegram für die Demonstranten schon lahmzulegen.
IP addresses coming mostly from China. Historically, all state actor-sized DDoS (200-400 Gb/s of junk) we experienced coincided in time with protests in Hong Kong (coordinated on @telegram). This case was not an exception.
— Pavel Durov (@durov) 12. Juni 2019
Ende-zu-Ende verschlüsselte Nachrichten sind ein echtes Problem für die Strafverfolgung. Da sich die Welt von traditionellen (und knackbaren) SMS- und E-Mail-Nachrichten zu Plattformen wie WhatsApp, iMessage, Signal und Wickr gewandelt hat, tappen die Ermittler und Regierungen weiter im Dunkeln.
Beitragsbild von Joseph Chan, thx!
Tarnkappe.info