• IT-Karriere:
  • Services:

Messenger: Telegram-Anrufe verraten IP-Adressen

Telefonanrufe via Telegram können die persönliche IP-Adresse verraten. Neue Optionen sollen dies auch auf dem Desktop verhindern können. Grundsätzliche Probleme bleiben jedoch ungelöst.

Artikel veröffentlicht am ,
Telegram vermarktet sich selbst als sicheren Messenger.
Telegram vermarktet sich selbst als sicheren Messenger. (Bild: Lobo Studio Hamburg/CC0 1.0)

Werden Telefonanrufe über Telegram mittels Peer-to-Peer (P2P) abgewickelt, werden auch die IP-Adressen der Kommunikationsteilnehmer übermittelt. Die Anrufe können alternativ über Telegram-Server getunnelt werden, sofern die Einstellung durch den Nutzer gesetzt wird. Diese Einstellung wurde Nutzern der Telegram-Desktop-App sowie der Windows-Version des Messengers jedoch nicht angeboten, wie dem Sicherheitsforscher Dhiraj Mishra aufgefallen ist. Laut Telegram sollten IP-Adressen zudem nur an bekannte Kontakte weitergegeben werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Fürth
  2. Stadtwerke München GmbH, München

Ein Telegram-Feature sind Sprachanrufe. Diese werden entweder über Telegram-Server oder zwischen den telefonierenden Geräten abgewickelt. Letzteres wird Peer-to-Peer genannt und übermittelt die IP-Adressen der Kommunikationsteilnehmer. Dhiraj Mishra konnte sich bei einem Anruf die IP-Adressen eines Telegram-Servers, seine eigene und die seines Gegenübers ausgeben lassen. Laut Telegram sei die Standardeinstellung, dass P2P-Anrufe nur mit bekannten Kontakten verwendet würden. Damit würde auch die IP-Adresse nur mit Meinen Kontakten, so die Standardoption der P2P-Einstellung, geteilt. Allerdings sei diese Einstellung bei einer Neuregistrierung von Telegram für einen Zeitraum von mehreren Stunden nicht gesetzt gewesen. Dadurch könnten IP-Adressen an unbekannte Anrufer abgeflossen sein. Telegrams CEO Pavel Durov erklärte in seinem Telegram-Kanal, dass Telegram Desktop nur an 0,01 Prozent der Anrufe auf Telegram beteiligt sei.

In den offiziellen Telegram-Apps für iOS und Android ließ sich das Verhalten schon bisher komplett deaktivieren. Hierzu müssen P2P-Anrufe komplett abgeschaltet werden. Unter Telegram Desktop und Telegram Messenger für Windows konnte diese Einstellung bis vor kurzem nicht gesetzt und einer Übermittlung der eigenen IP-Adresse nicht entgangen werden. Seit der Veröffentlichung der Versionen 1.3.17beta und 1.4.0 lässt sich auch hier die P2P-Funktion deaktivieren. Mishra erhielt für das Melden des Fehlers 2.000 Euro von Telegram.

Der Sicherheitsforscher entdeckte kurz zuvor ein weiteres Problem in t.me. Der Dienst ermöglicht Telegram-Nutzern, öffentlich unter einem selbstgewählten Benutzernamen erreichbar zu sein, ohne dass diese ihre Telefonnummer veröffentlichen müssen. Wird ein Proxy-Server verwendet, überträgt T.me die Zugangsdaten zu diesem zwar verschlüsselt, allerdings finden sich der Benutzername und das Passwort im Klartext in der URL. Sie können damit auch in den Browserverlauf eingehen und beispielsweise via Browsersynchronisation auf verschiedenen Geräten landen. Im Falle des Chrome-Synchronisationsdienstes können sie auch von Google ausgewertet werden. Telegram beschreibt das Verhalten laut Mishra als gewollt.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass die Kommunikation nicht standardmäßig Ende zu Ende verschlüsselt stattfindet. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Dabei unterstützt Telegram verschlüsselte Konversationen auch nur zwischen zwei Endgeräten. Verwendet ein Nutzer mehrere Geräte, beispielsweise den Messenger auf dem Smartphone und die Desktop-App, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende zu Ende verschlüsseln.

Kritisiert wird zudem Telegrams selbstentwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, der praktisch nicht mehr im Einsatz ist und von keinem bekannten Krypto-Protokoll genutzt wird. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung auch in mehreren Jahrzehnten nicht knacken können.

Nachtrag vom 2. Oktober 2018, 11:30 Uhr

Im Artikel hieß es ursprünglich versehentlich, dass Telegram Video- und Sprachanrufe unterstütze. Telegram bietet jedoch nur Videonachrichten und keine Videotelefonie an. Wir haben den Artikel entsprechend abgeändert.

Pavel Durov, CEO bei Telegram, hat sich zu den Vorfällen geäußert. Wir haben einen Satz dazu nachgefügt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-78%) 3,99€
  2. gratis (bis 02. April, 17 Uhr)
  3. 59,99€ (USK 18)

mtr (golem.de) 02. Okt 2018

Lieber lightview, Vielen Dank für deine Anmerkungen, die uns natürlich interessieren...

jg (Golem.de) 02. Okt 2018

Wir kannten die Erklärung des CEO zum Zeitpunkt der Artikelveröffentlichung nicht, die ja...

chefin 02. Okt 2018

Eigentlich noch viel banaler: du bekommst die IP des Mobilfunkmasten bei 90% der...

chefin 02. Okt 2018

hää? Nix verstehn vom Internet Du kannst IP-Adressen nicht unterdrücken, sondern nur...

elidor 01. Okt 2018

Und man kann verschlüsselte Nachrichten nicht auf 7 Server aufteilen, sondern nur...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Raumfahrt: Zombie-Satellit von 1967 sendet wieder
Raumfahrt
Zombie-Satellit von 1967 sendet wieder

Golem.de geht auf Zeitreise, nachdem der Satellit LES-5 aus den Zeiten des Vietnamkriegs wieder Funksignale aus dem All sendet.
Von Frank Wunderlich-Pfeiffer

  1. Internetnutzung Russische Rakete bringt 34 Oneweb-Satelliten ins All
  2. SpaceMobile Vodafone investiert in Satellitennetz für LTE und 5G
  3. Vernetzes Fahren Autokonzern Geely baut Satelliten für eigene Konstellation

Coronakrise: Welche Hilfen IT-Freelancer bekommen
Coronakrise
Welche Hilfen IT-Freelancer bekommen

Das Hilfspaket des Bundes in Milliardenhöhe sieht kaum Leistungen vor, mit denen IT-Freelancer etwas anfangen können. Den Bitkom empört das nicht.
Ein Bericht von Gerd Mischler

  1. IT-Chefs aus Indien Mehr als nur ein Klischee
  2. Jobporträt Softwaretester "Ein gesunder Pessimismus hilft"
  3. Frauen in der IT Software-Entwicklung ist nicht nur Männersache

Golem Akademie: IT-Sicherheit für Webentwickler als Live-Webinar
Golem Akademie
"IT-Sicherheit für Webentwickler" als Live-Webinar

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Webinar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

  1. Golem Akademie Zeitmanagement für IT-Profis
  2. Golem Akademie IT-Sicherheit für Webentwickler
  3. In eigener Sache Golem-pur-Nutzer erhalten Rabatt für unsere Workshops

    •  /