Datenschutz: Telegrams Privatsphäreeinstellung lässt sich leicht umgehen

Nicht nur Protestierende in Hongkong nutzen eine Privatsphäreoption von Telegram, damit ihre Telefonnummer "Niemand" sehen kann. Doch die Option lässt sich leicht umgehen: Aus niemand werden ganz schön viele.

Artikel veröffentlicht am ,
Der Messenger Telegram im Einsatz
Der Messenger Telegram im Einsatz (Bild: Christian Wiediger/Unsplash)

Gruppenchats im Messenger Telegram können eigentlich pseudonym genutzt werden, ohne die eigene Telefonnummer mit den Mitgliedern zu teilen. Doch die versprochene Privatsphäre kann leicht ausgehebelt werden, was Aktivisten in Hongkong, die sich auf die Funktion verlassen hatten, in Gefahr bringt. Zuerst hatten die Süddeutsche Zeitung und Forbes berichtet.

Stellenmarkt
  1. Embedded Softwareentwickler (m/w/d)
    Hays AG, Hamburg
  2. Windows-Systemadministrator (m/w/d)
    Hays AG, Wiesbaden
Detailsuche

Tausende Demonstranten in Hongkong besprechen sich in Gruppenchats des Messengers Telegram. "Die anonymen Organisatoren der Gruppen werden sowohl von der Regierung bedroht als auch von Gangstern der Triaden, die die Regierung unterstützen", erklärte der Softwareentwickler Chu Ka-Cheong der Süddeutschen Zeitung. "Privatsphäre und Anonymität kann bei ihnen über Leben und Tod entscheiden."

In den Privatsphäreoptionen der Messenger-App Telegram können die Nutzer die Sichtbarkeit ihrer Telefonnummer einstellen. Standardmäßig bekommen die Nummer nur Kontakte zu sehen, die sich bereits im Adressbuch des Nutzers befinden. Es lassen sich aber auch die Optionen "Alle" oder "Niemand" auswählen. Je nach Einstellung können Nutzer in öffentlichen Telegram-Gruppen mitdiskutieren, ohne ihre Identität oder Telefonnummer preisgeben zu müssen.

Eingeschränkte Privatsphäre

Doch die Privatsphäre kann leicht ausgehebelt werden. Ein Angreifer muss hierzu ein Adressbuch mit den Telefonnummern von potenziellen Gruppenmitgliedern erstellen und dieses mit Telegram synchronisieren. Tritt der Angreifer anschließend dem Gruppenchat bei, werden ihm die Telefonnummern von allen Chatmitgliedern, die in seinem Adressbuch sind, angezeigt. Sollte der Angreifer noch nicht wissen, wem die Telefonnummer gehört, kann er - zumindest im Falle einer Sicherheitsbehörde - die Identität über die Mobilfunkunternehmen abfragen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Auf diese drastische Einschränkung der Funktion weist Telegram sowohl in den FAQs auf seiner Webseite als auch unter den Auswahlmöglichkeiten in der App hin: "Beachten Sie, dass die Menschen, die ihre Nummer bereits kennen und sie in ihrem Adressbuch gespeichert haben, ihre Nummer immer sehen können", heißt es in den FAQs.

Die Hongkonger Aktivisten befürchten nun, dass chinesische Behörden versuchen, die Identität der Demonstrierenden über diesen Angriff herauszufinden. Ein Telegram-Sprecher erklärte der Süddeutschen Zeitung, dass ein Schutzmechanismus verhindern würde, dass solche Angriffe im großen Stil ausgeführt werden könnten. Ein Algorithmus stoppe Telegram-Konten, wenn sie massenhaft automatisiert Telefonnummern importierten. Dennoch sei es möglich, Tausende Telefonnummern mit einem Telegram-Konto zu importieren.

Diese Einschränkungen ermöglichen es allerdings, die Privatsphäreeinstellung leicht zu umgehen und stellen sie damit insgesamt infrage, insbesondere, wenn die Einstellung "Niemand" "kann meine Telefonnummer sehen" genannt wird. Telegram setzt immer wieder auf Funktionen, die unausgegoren wirken und bei den Nutzern ein falsches Gefühl von Sicherheit oder Privatsphäre hervorrufen können. Vergangenes Jahr konnte ein Sicherheitsforscher ein Privatsphäre-Feature von Telegram leicht umgehen: Eigentlich soll die IP-Adresse bei Telefonanrufen über Telegram nur bei bekannten Kontakten übermittelt werden, ansonsten sollen die Anrufe über Server von Telegram getunnelt und so die IP-Adresse geschützt werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende-verschlüsseln.

Kritisiert wird zudem Telegrams selbst entwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, einem ungewöhnlichen Verschlüsselungsmodus, den sonst kein bekanntes Kryptoprotokoll benutzt. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung in mehreren Jahrzehnten nicht knacken können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekanntgeworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. BSR: Wasserstoff-Müllautos für Berlin
    BSR
    Wasserstoff-Müllautos für Berlin

    Die Berliner Stadtreinigung (BSR) wird künftig mit Wasserstoff-Müllwagen von Faun unterwegs sein. Zwei Fahrzeuge werden sofort eingesetzt, zwölf folgen.

  2. Protest gegen VW: Greenpeace-Aktivist springt mit Gleitschirm ins EM-Stadion
    Protest gegen VW
    Greenpeace-Aktivist springt mit Gleitschirm ins EM-Stadion

    Vor Anpfiff des EM-Spiels Deutschland-Frankreich ist ein Motorschirmflieger im Stadion gelandet: Greenpeace forderte den Verbrennerausstieg von VW.

  3. Nintendo: Link über den Wolken und Metroid in 2D
    Nintendo
    Link über den Wolken und Metroid in 2D

    E3 2021 Nintendo hat keine Switch Pro, aber Neuigkeiten zu The Legend of Zelda und ein Überraschungs-Metroid vorgestellt.

yumiko 29. Aug 2019

Russland hat doch per Gericht den Zugriff auf die inländischen Server verfügt. Dort...

matok 29. Aug 2019

Einfachste: Man nimmt einen existierenden Email Account. Blubb.

Stiffler 28. Aug 2019

herausgefunden, dass eine HTTP-Session nicht verschlüsselt ist, wenn man auf die...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPads (u. a. iPad Pro 12,9" 256GB 909€) [Werbung]
    •  /