Abo
  • Services:

Messenger: Telegram-Anrufe verraten IP-Adressen

Telefonanrufe via Telegram können die persönliche IP-Adresse verraten. Neue Optionen sollen dies auch auf dem Desktop verhindern können. Grundsätzliche Probleme bleiben jedoch ungelöst.

Artikel veröffentlicht am ,
Telegram vermarktet sich selbst als sicheren Messenger.
Telegram vermarktet sich selbst als sicheren Messenger. (Bild: Lobo Studio Hamburg/CC0 1.0)

Werden Telefonanrufe über Telegram mittels Peer-to-Peer (P2P) abgewickelt, werden auch die IP-Adressen der Kommunikationsteilnehmer übermittelt. Die Anrufe können alternativ über Telegram-Server getunnelt werden, sofern die Einstellung durch den Nutzer gesetzt wird. Diese Einstellung wurde Nutzern der Telegram-Desktop-App sowie der Windows-Version des Messengers jedoch nicht angeboten, wie dem Sicherheitsforscher Dhiraj Mishra aufgefallen ist. Laut Telegram sollten IP-Adressen zudem nur an bekannte Kontakte weitergegeben werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Ein Telegram-Feature sind Sprachanrufe. Diese werden entweder über Telegram-Server oder zwischen den telefonierenden Geräten abgewickelt. Letzteres wird Peer-to-Peer genannt und übermittelt die IP-Adressen der Kommunikationsteilnehmer. Dhiraj Mishra konnte sich bei einem Anruf die IP-Adressen eines Telegram-Servers, seine eigene und die seines Gegenübers ausgeben lassen. Laut Telegram sei die Standardeinstellung, dass P2P-Anrufe nur mit bekannten Kontakten verwendet würden. Damit würde auch die IP-Adresse nur mit Meinen Kontakten, so die Standardoption der P2P-Einstellung, geteilt. Allerdings sei diese Einstellung bei einer Neuregistrierung von Telegram für einen Zeitraum von mehreren Stunden nicht gesetzt gewesen. Dadurch könnten IP-Adressen an unbekannte Anrufer abgeflossen sein. Telegrams CEO Pavel Durov erklärte in seinem Telegram-Kanal, dass Telegram Desktop nur an 0,01 Prozent der Anrufe auf Telegram beteiligt sei.

In den offiziellen Telegram-Apps für iOS und Android ließ sich das Verhalten schon bisher komplett deaktivieren. Hierzu müssen P2P-Anrufe komplett abgeschaltet werden. Unter Telegram Desktop und Telegram Messenger für Windows konnte diese Einstellung bis vor kurzem nicht gesetzt und einer Übermittlung der eigenen IP-Adresse nicht entgangen werden. Seit der Veröffentlichung der Versionen 1.3.17beta und 1.4.0 lässt sich auch hier die P2P-Funktion deaktivieren. Mishra erhielt für das Melden des Fehlers 2.000 Euro von Telegram.

Der Sicherheitsforscher entdeckte kurz zuvor ein weiteres Problem in t.me. Der Dienst ermöglicht Telegram-Nutzern, öffentlich unter einem selbstgewählten Benutzernamen erreichbar zu sein, ohne dass diese ihre Telefonnummer veröffentlichen müssen. Wird ein Proxy-Server verwendet, überträgt T.me die Zugangsdaten zu diesem zwar verschlüsselt, allerdings finden sich der Benutzername und das Passwort im Klartext in der URL. Sie können damit auch in den Browserverlauf eingehen und beispielsweise via Browsersynchronisation auf verschiedenen Geräten landen. Im Falle des Chrome-Synchronisationsdienstes können sie auch von Google ausgewertet werden. Telegram beschreibt das Verhalten laut Mishra als gewollt.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass die Kommunikation nicht standardmäßig Ende zu Ende verschlüsselt stattfindet. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Dabei unterstützt Telegram verschlüsselte Konversationen auch nur zwischen zwei Endgeräten. Verwendet ein Nutzer mehrere Geräte, beispielsweise den Messenger auf dem Smartphone und die Desktop-App, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende zu Ende verschlüsseln.

Kritisiert wird zudem Telegrams selbstentwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, der praktisch nicht mehr im Einsatz ist und von keinem bekannten Krypto-Protokoll genutzt wird. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung auch in mehreren Jahrzehnten nicht knacken können.

Nachtrag vom 2. Oktober 2018, 11:30 Uhr

Im Artikel hieß es ursprünglich versehentlich, dass Telegram Video- und Sprachanrufe unterstütze. Telegram bietet jedoch nur Videonachrichten und keine Videotelefonie an. Wir haben den Artikel entsprechend abgeändert.

Pavel Durov, CEO bei Telegram, hat sich zu den Vorfällen geäußert. Wir haben einen Satz dazu nachgefügt.



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

mtr (golem.de) 02. Okt 2018

Lieber lightview, Vielen Dank für deine Anmerkungen, die uns natürlich interessieren...

jg (Golem.de) 02. Okt 2018

Wir kannten die Erklärung des CEO zum Zeitpunkt der Artikelveröffentlichung nicht, die ja...

chefin 02. Okt 2018

Eigentlich noch viel banaler: du bekommst die IP des Mobilfunkmasten bei 90% der...

chefin 02. Okt 2018

hää? Nix verstehn vom Internet Du kannst IP-Adressen nicht unterdrücken, sondern nur...

elidor 01. Okt 2018

Und man kann verschlüsselte Nachrichten nicht auf 7 Server aufteilen, sondern nur...


Folgen Sie uns
       


Command and Conquer (1995) - Golem retro_

Grünes Gold, Kane und - jedenfalls in Deutschland - Cyborgs statt Soldaten stehen im Mittelpunkt aller Nostalgie für Command & Conquer.

Command and Conquer (1995) - Golem retro_ Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Requiem zur Cebit: Es war einmal die beste Messe
    Requiem zur Cebit
    Es war einmal die beste Messe

    Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
    Von Nico Ernst

    1. IT-Messe Die Cebit wird eingestellt

      •  /