Abo
  • Services:

Messenger: Telegram-Anrufe verraten IP-Adressen

Telefonanrufe via Telegram können die persönliche IP-Adresse verraten. Neue Optionen sollen dies auch auf dem Desktop verhindern können. Grundsätzliche Probleme bleiben jedoch ungelöst.

Artikel veröffentlicht am ,
Telegram vermarktet sich selbst als sicheren Messenger.
Telegram vermarktet sich selbst als sicheren Messenger. (Bild: Lobo Studio Hamburg/CC0 1.0)

Werden Telefonanrufe über Telegram mittels Peer-to-Peer (P2P) abgewickelt, werden auch die IP-Adressen der Kommunikationsteilnehmer übermittelt. Die Anrufe können alternativ über Telegram-Server getunnelt werden, sofern die Einstellung durch den Nutzer gesetzt wird. Diese Einstellung wurde Nutzern der Telegram-Desktop-App sowie der Windows-Version des Messengers jedoch nicht angeboten, wie dem Sicherheitsforscher Dhiraj Mishra aufgefallen ist. Laut Telegram sollten IP-Adressen zudem nur an bekannte Kontakte weitergegeben werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Stellenmarkt
  1. Kratzer EDV GmbH, München
  2. BWI GmbH, Berlin, München, Nürnberg, Rheinbach

Ein Telegram-Feature sind Sprachanrufe. Diese werden entweder über Telegram-Server oder zwischen den telefonierenden Geräten abgewickelt. Letzteres wird Peer-to-Peer genannt und übermittelt die IP-Adressen der Kommunikationsteilnehmer. Dhiraj Mishra konnte sich bei einem Anruf die IP-Adressen eines Telegram-Servers, seine eigene und die seines Gegenübers ausgeben lassen. Laut Telegram sei die Standardeinstellung, dass P2P-Anrufe nur mit bekannten Kontakten verwendet würden. Damit würde auch die IP-Adresse nur mit Meinen Kontakten, so die Standardoption der P2P-Einstellung, geteilt. Allerdings sei diese Einstellung bei einer Neuregistrierung von Telegram für einen Zeitraum von mehreren Stunden nicht gesetzt gewesen. Dadurch könnten IP-Adressen an unbekannte Anrufer abgeflossen sein. Telegrams CEO Pavel Durov erklärte in seinem Telegram-Kanal, dass Telegram Desktop nur an 0,01 Prozent der Anrufe auf Telegram beteiligt sei.

In den offiziellen Telegram-Apps für iOS und Android ließ sich das Verhalten schon bisher komplett deaktivieren. Hierzu müssen P2P-Anrufe komplett abgeschaltet werden. Unter Telegram Desktop und Telegram Messenger für Windows konnte diese Einstellung bis vor kurzem nicht gesetzt und einer Übermittlung der eigenen IP-Adresse nicht entgangen werden. Seit der Veröffentlichung der Versionen 1.3.17beta und 1.4.0 lässt sich auch hier die P2P-Funktion deaktivieren. Mishra erhielt für das Melden des Fehlers 2.000 Euro von Telegram.

Der Sicherheitsforscher entdeckte kurz zuvor ein weiteres Problem in t.me. Der Dienst ermöglicht Telegram-Nutzern, öffentlich unter einem selbstgewählten Benutzernamen erreichbar zu sein, ohne dass diese ihre Telefonnummer veröffentlichen müssen. Wird ein Proxy-Server verwendet, überträgt T.me die Zugangsdaten zu diesem zwar verschlüsselt, allerdings finden sich der Benutzername und das Passwort im Klartext in der URL. Sie können damit auch in den Browserverlauf eingehen und beispielsweise via Browsersynchronisation auf verschiedenen Geräten landen. Im Falle des Chrome-Synchronisationsdienstes können sie auch von Google ausgewertet werden. Telegram beschreibt das Verhalten laut Mishra als gewollt.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass die Kommunikation nicht standardmäßig Ende zu Ende verschlüsselt stattfindet. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Dabei unterstützt Telegram verschlüsselte Konversationen auch nur zwischen zwei Endgeräten. Verwendet ein Nutzer mehrere Geräte, beispielsweise den Messenger auf dem Smartphone und die Desktop-App, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende zu Ende verschlüsseln.

Kritisiert wird zudem Telegrams selbstentwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, der praktisch nicht mehr im Einsatz ist und von keinem bekannten Krypto-Protokoll genutzt wird. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung auch in mehreren Jahrzehnten nicht knacken können.

Nachtrag vom 2. Oktober 2018, 11:30 Uhr

Im Artikel hieß es ursprünglich versehentlich, dass Telegram Video- und Sprachanrufe unterstütze. Telegram bietet jedoch nur Videonachrichten und keine Videotelefonie an. Wir haben den Artikel entsprechend abgeändert.

Pavel Durov, CEO bei Telegram, hat sich zu den Vorfällen geäußert. Wir haben einen Satz dazu nachgefügt.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

mtr (golem.de) 02. Okt 2018

Lieber lightview, Vielen Dank für deine Anmerkungen, die uns natürlich interessieren...

jg (Golem.de) 02. Okt 2018

Wir kannten die Erklärung des CEO zum Zeitpunkt der Artikelveröffentlichung nicht, die ja...

chefin 02. Okt 2018

Eigentlich noch viel banaler: du bekommst die IP des Mobilfunkmasten bei 90% der...

chefin 02. Okt 2018

hää? Nix verstehn vom Internet Du kannst IP-Adressen nicht unterdrücken, sondern nur...

elidor 01. Okt 2018

Und man kann verschlüsselte Nachrichten nicht auf 7 Server aufteilen, sondern nur...


Folgen Sie uns
       


Nubia Red Magic Mars - Hands on (CES 2019)

Das Red Magic Mars von Nubia ist ein Gaming-Smartphone mit guter Hardware - und einem ziemlich guten Preis.

Nubia Red Magic Mars - Hands on (CES 2019) Video aufrufen
Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

Struktrurwandel: IT soll jetzt die Kohle nach Cottbus bringen
Struktrurwandel
IT soll jetzt die Kohle nach Cottbus bringen

In Cottbus wird bald der letzte große Braunkohle-Tagebau zum Badesee. Die ansässige Wirtschaft sucht nach neuen Geldquellen und will die Stadt zu einem wichtigen IT-Standort machen. Richten könnten das die Informatiker der Technischen Uni - die werden aber direkt nach ihrem Abschluss abgeworben.
Von Maja Hoock

  1. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  2. Recruiting Wenn die KI passende Mitarbeiter findet
  3. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel

EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

    •  /