Abo
  • IT-Karriere:

Datenschutz: Telegrams Privatsphäreeinstellung lässt sich leicht umgehen

Nicht nur Protestierende in Hongkong nutzen eine Privatsphäreoption von Telegram, damit ihre Telefonnummer "Niemand" sehen kann. Doch die Option lässt sich leicht umgehen: Aus niemand werden ganz schön viele.

Artikel veröffentlicht am ,
Der Messenger Telegram im Einsatz
Der Messenger Telegram im Einsatz (Bild: Christian Wiediger/Unsplash)

Gruppenchats im Messenger Telegram können eigentlich pseudonym genutzt werden, ohne die eigene Telefonnummer mit den Mitgliedern zu teilen. Doch die versprochene Privatsphäre kann leicht ausgehebelt werden, was Aktivisten in Hongkong, die sich auf die Funktion verlassen hatten, in Gefahr bringt. Zuerst hatten die Süddeutsche Zeitung und Forbes berichtet.

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg
  2. Concordia Versicherungsgesellschaft a.G., Hannover

Tausende Demonstranten in Hongkong besprechen sich in Gruppenchats des Messengers Telegram. "Die anonymen Organisatoren der Gruppen werden sowohl von der Regierung bedroht als auch von Gangstern der Triaden, die die Regierung unterstützen", erklärte der Softwareentwickler Chu Ka-Cheong der Süddeutschen Zeitung. "Privatsphäre und Anonymität kann bei ihnen über Leben und Tod entscheiden."

In den Privatsphäreoptionen der Messenger-App Telegram können die Nutzer die Sichtbarkeit ihrer Telefonnummer einstellen. Standardmäßig bekommen die Nummer nur Kontakte zu sehen, die sich bereits im Adressbuch des Nutzers befinden. Es lassen sich aber auch die Optionen "Alle" oder "Niemand" auswählen. Je nach Einstellung können Nutzer in öffentlichen Telegram-Gruppen mitdiskutieren, ohne ihre Identität oder Telefonnummer preisgeben zu müssen.

Eingeschränkte Privatsphäre

Doch die Privatsphäre kann leicht ausgehebelt werden. Ein Angreifer muss hierzu ein Adressbuch mit den Telefonnummern von potenziellen Gruppenmitgliedern erstellen und dieses mit Telegram synchronisieren. Tritt der Angreifer anschließend dem Gruppenchat bei, werden ihm die Telefonnummern von allen Chatmitgliedern, die in seinem Adressbuch sind, angezeigt. Sollte der Angreifer noch nicht wissen, wem die Telefonnummer gehört, kann er - zumindest im Falle einer Sicherheitsbehörde - die Identität über die Mobilfunkunternehmen abfragen.

Auf diese drastische Einschränkung der Funktion weist Telegram sowohl in den FAQs auf seiner Webseite als auch unter den Auswahlmöglichkeiten in der App hin: "Beachten Sie, dass die Menschen, die ihre Nummer bereits kennen und sie in ihrem Adressbuch gespeichert haben, ihre Nummer immer sehen können", heißt es in den FAQs.

Die Hongkonger Aktivisten befürchten nun, dass chinesische Behörden versuchen, die Identität der Demonstrierenden über diesen Angriff herauszufinden. Ein Telegram-Sprecher erklärte der Süddeutschen Zeitung, dass ein Schutzmechanismus verhindern würde, dass solche Angriffe im großen Stil ausgeführt werden könnten. Ein Algorithmus stoppe Telegram-Konten, wenn sie massenhaft automatisiert Telefonnummern importierten. Dennoch sei es möglich, Tausende Telefonnummern mit einem Telegram-Konto zu importieren.

Diese Einschränkungen ermöglichen es allerdings, die Privatsphäreeinstellung leicht zu umgehen und stellen sie damit insgesamt infrage, insbesondere, wenn die Einstellung "Niemand" "kann meine Telefonnummer sehen" genannt wird. Telegram setzt immer wieder auf Funktionen, die unausgegoren wirken und bei den Nutzern ein falsches Gefühl von Sicherheit oder Privatsphäre hervorrufen können. Vergangenes Jahr konnte ein Sicherheitsforscher ein Privatsphäre-Feature von Telegram leicht umgehen: Eigentlich soll die IP-Adresse bei Telefonanrufen über Telegram nur bei bekannten Kontakten übermittelt werden, ansonsten sollen die Anrufe über Server von Telegram getunnelt und so die IP-Adresse geschützt werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende-verschlüsseln.

Kritisiert wird zudem Telegrams selbst entwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, einem ungewöhnlichen Verschlüsselungsmodus, den sonst kein bekanntes Kryptoprotokoll benutzt. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung in mehreren Jahrzehnten nicht knacken können.



Anzeige
Top-Angebote
  1. (u. a. Sandisk 512-GB-SSD für 55,00€, WD Elements Exclusive Edition 2 TB für 59,00€ und Abend...
  2. 31,99€
  3. 139,00€ (Bestpreis!)

yumiko 29. Aug 2019 / Themenstart

Russland hat doch per Gericht den Zugriff auf die inländischen Server verfügt. Dort...

matok 29. Aug 2019 / Themenstart

Einfachste: Man nimmt einen existierenden Email Account. Blubb.

Stiffler 28. Aug 2019 / Themenstart

herausgefunden, dass eine HTTP-Session nicht verschlüsselt ist, wenn man auf die...

Kommentieren


Folgen Sie uns
       


Hyundai Kona Elektro - Test

Das Elektro-SUV ist ein echter Langläufer.

Hyundai Kona Elektro - Test Video aufrufen
Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
Garmin Fenix 6 im Test
Laufzeitmonster mit Sonne im Herzen

Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
Ein Test von Peter Steinlechner

  1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
  2. Wearable Garmin Fenix 6 bekommt Solarstrom

    •  /