Telegram: Bug wird für Exploit von der chinesischen Regierung genutzt

Aktivisten in Hong Kong nutzen Telegram, um die Kommunikation vor den neugierigen Blicken der chinesischen Behörden zu schützen. Doch es gibt einen Bug in Gruppenchats, indem die Telefonnummern von den Teilnehmern geleakt werden könnten. Dieses Problem ist kein Angriff auf die Verschlüsselung. Aber es zeigt, was passieren kann, wenn die Behörden die Privatsphäre in sicheren Plattformen gefährden können.


Auf Twitter ersucht der Software-Ingenieur Chu Ka-Cheong die Hilfe von Telegram. Es geht um den Leak der Telefonnummern in Gruppenchats. Trotz der Privatsphären-Einstellungen lässt sich über einen Bug die Telefonnummern aller Teilnehmer herausfinden. Gerade bei den Protesten in Hong Kong wird dieser Bug von den Behörden ausgenutzt.

Telegram Bug wurde in einem Forum veröffentlicht

Der Telegram Bug wurde in einem bekannten Forum veröffentlicht, dass die Demonstranten als Austauschplattform verwenden. Demzufolge ist es möglich, Telefonnummern, die eingespeichert und bereits synchronisiert sind, in einem Gruppenchat zu erkennen.

In dem Beitrag wird dazu aufgerufen, dass sich die Demonstranten die App textnow herunterladen und dort eine Telefonnummer beantragen sollen.

Angabe der Telefonnummer bei Telegram steht nicht im Einklang mit der Privatsphäre

Die Angabe der Telefonnummer war schon immer ein Problem mit der Privatsphäre. Da Telegram die Telefonnummern als eindeutiges Identifikations-Merkmal verwendet. Demzufolge gab es im Jahr 2016 eine ähnliche Aktion im Iran. Dort haben iranische Hacker per Brute-Force-Abfrage 15 Millionen Telefonnummern iranischer Telegram-Nutzer herausgefunden. Es gibt derzeit keinen Lösungsweg für Demonstranten, außer der Umstellung von Telegrammkonten auf anonyme Telefonnummern, die nicht zurückverfolgt werden können.

Es handelt sich um eine Telegram-Funktion und ist keine Schwachstelle

Laut einem Sprecher von Telegram handelt es sich nicht um einen Bug oder einer Schwachstelle, sondern um eine Funktion dieses Messengers. Er hebt dabei hervor, dass es eine dokumentierte Funktion von Telegram sei, wie bei anderen Messengern (WhatsApp) auch. Demnach will Telegram den Nutzern ermöglichen, dass ihre Telefonkontakte zu finden sind in der App. Im Gegensatz zu anderen Messengern bietet Telegram dennoch die Option, dass die Synchronisierung der Kontakte deaktiviert werden kann.

 

Regierung unterstützt Hacker

“We have suspected that some government-sponsored attackers have exploited this bug and use it to target Hong Kong protesters” – Chu Ka-cheong

Laut Chu Ka-cheong soll die Regierung Hacker unterstützen, die dabei helfen Demonstranten über diesen Bug zu identifizieren. Doch laut Telegram, soll der Umgang mit Telefonnummern in Gruppen bereits privater sein, als bei anderen Messengern. Aus diesem Grund will Telegram den Schutz ihrer APIs verbessern, um so „Massenimportversuche“ zu stoppen. Demzufolge laufen aktuell weitere Tests, indem nach dem 85. Abfrageversuch die Ingenieure bereits gestoppt wurden. Des Weiteren versuchte China bereits im Juni mit einer Distributed-Denial-of-Service attack, die Server von Telegram für die Demonstranten schon lahmzulegen.

 

 

 

Ende-zu-Ende verschlüsselte Nachrichten sind ein echtes Problem für die Strafverfolgung. Da sich die Welt von traditionellen (und knackbaren) SMS- und E-Mail-Nachrichten zu Plattformen wie WhatsApp, iMessage, Signal und Wickr gewandelt hat, tappen die Ermittler und Regierungen weiter im Dunkeln.

Tarnkappe.info

 

Beitragsbild von Joseph Chan, thx!

Autor bei Tarnkappe

Vielleicht gefällt dir auch