Datenschutz: Telegrams Privatsphäreeinstellung lässt sich leicht umgehen

Nicht nur Protestierende in Hongkong nutzen eine Privatsphäreoption von Telegram, damit ihre Telefonnummer "Niemand" sehen kann. Doch die Option lässt sich leicht umgehen: Aus niemand werden ganz schön viele.

Artikel veröffentlicht am ,
Der Messenger Telegram im Einsatz
Der Messenger Telegram im Einsatz (Bild: Christian Wiediger/Unsplash)

Gruppenchats im Messenger Telegram können eigentlich pseudonym genutzt werden, ohne die eigene Telefonnummer mit den Mitgliedern zu teilen. Doch die versprochene Privatsphäre kann leicht ausgehebelt werden, was Aktivisten in Hongkong, die sich auf die Funktion verlassen hatten, in Gefahr bringt. Zuerst hatten die Süddeutsche Zeitung und Forbes berichtet.

Tausende Demonstranten in Hongkong besprechen sich in Gruppenchats des Messengers Telegram. "Die anonymen Organisatoren der Gruppen werden sowohl von der Regierung bedroht als auch von Gangstern der Triaden, die die Regierung unterstützen", erklärte der Softwareentwickler Chu Ka-Cheong der Süddeutschen Zeitung. "Privatsphäre und Anonymität kann bei ihnen über Leben und Tod entscheiden."

In den Privatsphäreoptionen der Messenger-App Telegram können die Nutzer die Sichtbarkeit ihrer Telefonnummer einstellen. Standardmäßig bekommen die Nummer nur Kontakte zu sehen, die sich bereits im Adressbuch des Nutzers befinden. Es lassen sich aber auch die Optionen "Alle" oder "Niemand" auswählen. Je nach Einstellung können Nutzer in öffentlichen Telegram-Gruppen mitdiskutieren, ohne ihre Identität oder Telefonnummer preisgeben zu müssen.

Eingeschränkte Privatsphäre

Doch die Privatsphäre kann leicht ausgehebelt werden. Ein Angreifer muss hierzu ein Adressbuch mit den Telefonnummern von potenziellen Gruppenmitgliedern erstellen und dieses mit Telegram synchronisieren. Tritt der Angreifer anschließend dem Gruppenchat bei, werden ihm die Telefonnummern von allen Chatmitgliedern, die in seinem Adressbuch sind, angezeigt. Sollte der Angreifer noch nicht wissen, wem die Telefonnummer gehört, kann er - zumindest im Falle einer Sicherheitsbehörde - die Identität über die Mobilfunkunternehmen abfragen.

Auf diese drastische Einschränkung der Funktion weist Telegram sowohl in den FAQs auf seiner Webseite als auch unter den Auswahlmöglichkeiten in der App hin: "Beachten Sie, dass die Menschen, die ihre Nummer bereits kennen und sie in ihrem Adressbuch gespeichert haben, ihre Nummer immer sehen können", heißt es in den FAQs.

Die Hongkonger Aktivisten befürchten nun, dass chinesische Behörden versuchen, die Identität der Demonstrierenden über diesen Angriff herauszufinden. Ein Telegram-Sprecher erklärte der Süddeutschen Zeitung, dass ein Schutzmechanismus verhindern würde, dass solche Angriffe im großen Stil ausgeführt werden könnten. Ein Algorithmus stoppe Telegram-Konten, wenn sie massenhaft automatisiert Telefonnummern importierten. Dennoch sei es möglich, Tausende Telefonnummern mit einem Telegram-Konto zu importieren.

Diese Einschränkungen ermöglichen es allerdings, die Privatsphäreeinstellung leicht zu umgehen und stellen sie damit insgesamt infrage, insbesondere, wenn die Einstellung "Niemand" "kann meine Telefonnummer sehen" genannt wird. Telegram setzt immer wieder auf Funktionen, die unausgegoren wirken und bei den Nutzern ein falsches Gefühl von Sicherheit oder Privatsphäre hervorrufen können. Vergangenes Jahr konnte ein Sicherheitsforscher ein Privatsphäre-Feature von Telegram leicht umgehen: Eigentlich soll die IP-Adresse bei Telefonanrufen über Telegram nur bei bekannten Kontakten übermittelt werden, ansonsten sollen die Anrufe über Server von Telegram getunnelt und so die IP-Adresse geschützt werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende-verschlüsseln.

Kritisiert wird zudem Telegrams selbst entwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, einem ungewöhnlichen Verschlüsselungsmodus, den sonst kein bekanntes Kryptoprotokoll benutzt. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung in mehreren Jahrzehnten nicht knacken können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


yumiko 29. Aug 2019

Russland hat doch per Gericht den Zugriff auf die inländischen Server verfügt. Dort...

matok 29. Aug 2019

Einfachste: Man nimmt einen existierenden Email Account. Blubb.

Stiffler 28. Aug 2019

herausgefunden, dass eine HTTP-Session nicht verschlüsselt ist, wenn man auf die...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Palantir für die militärische Zielauswahl verantwortlich

Das US-Unternehmen Palantir ist mit Software am Kriegsgeschehen in der Ukraine beteiligt. Auch die hiesige Polizei setzt Software des Unternehmens ein.

Ukrainekrieg: Palantir für die militärische Zielauswahl verantwortlich
Artikel
  1. Streaming: Netflix streicht Funktion aus drei Abomodellen
    Streaming
    Netflix streicht Funktion aus drei Abomodellen

    Künftig gibt es 3D-Raumklang alias Spatial Audio nur noch im teuersten Netflix-Abo. Wirbel entfacht eine Filmveröffentlichung in Japan.

  2. Gorillas, Uber & Co.: EU will bessere Arbeitsbedingungen bei Plattformdiensten
    Gorillas, Uber & Co.
    EU will bessere Arbeitsbedingungen bei Plattformdiensten

    Die Beschäftigten bei Online-Lieferdiensten seien Sklaven des Algorithmus, erklärt eine Europaabgeordnete. In Zukunft sollen sie besser abgesichert werden.

  3. Software: Wie Entwickler Fehler aufspüren - oder gleich vermeiden
    Software
    Wie Entwickler Fehler aufspüren - oder gleich vermeiden

    Es gibt zahlreiche Arten von Softwarefehlern. Wir erklären, welche Testverfahren sie am zuverlässigsten finden und welche Methoden es gibt, um ihnen vorzubeugen.
    Von Michael Bröde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G5 Curved 27" WQHD 260,53€ • Graka-Preisrutsch bei Mindfactory • Samsung Galaxy S23 jetzt vorbestellbar • Philips Hue 3x E27 + Hue Bridge -57% • PCGH Cyber Week • Dead Space PS5 -16% • PNY RTX 4080 1.269€ • Bis 77% Rabatt auf Fernseher • Roccat Kone Pro -56% [Werbung]
    •  /