Abo
  • IT-Karriere:

Messenger: Telegram-Anrufe verraten IP-Adressen

Telefonanrufe via Telegram können die persönliche IP-Adresse verraten. Neue Optionen sollen dies auch auf dem Desktop verhindern können. Grundsätzliche Probleme bleiben jedoch ungelöst.

Artikel veröffentlicht am ,
Telegram vermarktet sich selbst als sicheren Messenger.
Telegram vermarktet sich selbst als sicheren Messenger. (Bild: Lobo Studio Hamburg/CC0 1.0)

Werden Telefonanrufe über Telegram mittels Peer-to-Peer (P2P) abgewickelt, werden auch die IP-Adressen der Kommunikationsteilnehmer übermittelt. Die Anrufe können alternativ über Telegram-Server getunnelt werden, sofern die Einstellung durch den Nutzer gesetzt wird. Diese Einstellung wurde Nutzern der Telegram-Desktop-App sowie der Windows-Version des Messengers jedoch nicht angeboten, wie dem Sicherheitsforscher Dhiraj Mishra aufgefallen ist. Laut Telegram sollten IP-Adressen zudem nur an bekannte Kontakte weitergegeben werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Stellenmarkt
  1. BWI GmbH, Hannover
  2. Hays AG, Nürnberg

Ein Telegram-Feature sind Sprachanrufe. Diese werden entweder über Telegram-Server oder zwischen den telefonierenden Geräten abgewickelt. Letzteres wird Peer-to-Peer genannt und übermittelt die IP-Adressen der Kommunikationsteilnehmer. Dhiraj Mishra konnte sich bei einem Anruf die IP-Adressen eines Telegram-Servers, seine eigene und die seines Gegenübers ausgeben lassen. Laut Telegram sei die Standardeinstellung, dass P2P-Anrufe nur mit bekannten Kontakten verwendet würden. Damit würde auch die IP-Adresse nur mit Meinen Kontakten, so die Standardoption der P2P-Einstellung, geteilt. Allerdings sei diese Einstellung bei einer Neuregistrierung von Telegram für einen Zeitraum von mehreren Stunden nicht gesetzt gewesen. Dadurch könnten IP-Adressen an unbekannte Anrufer abgeflossen sein. Telegrams CEO Pavel Durov erklärte in seinem Telegram-Kanal, dass Telegram Desktop nur an 0,01 Prozent der Anrufe auf Telegram beteiligt sei.

In den offiziellen Telegram-Apps für iOS und Android ließ sich das Verhalten schon bisher komplett deaktivieren. Hierzu müssen P2P-Anrufe komplett abgeschaltet werden. Unter Telegram Desktop und Telegram Messenger für Windows konnte diese Einstellung bis vor kurzem nicht gesetzt und einer Übermittlung der eigenen IP-Adresse nicht entgangen werden. Seit der Veröffentlichung der Versionen 1.3.17beta und 1.4.0 lässt sich auch hier die P2P-Funktion deaktivieren. Mishra erhielt für das Melden des Fehlers 2.000 Euro von Telegram.

Der Sicherheitsforscher entdeckte kurz zuvor ein weiteres Problem in t.me. Der Dienst ermöglicht Telegram-Nutzern, öffentlich unter einem selbstgewählten Benutzernamen erreichbar zu sein, ohne dass diese ihre Telefonnummer veröffentlichen müssen. Wird ein Proxy-Server verwendet, überträgt T.me die Zugangsdaten zu diesem zwar verschlüsselt, allerdings finden sich der Benutzername und das Passwort im Klartext in der URL. Sie können damit auch in den Browserverlauf eingehen und beispielsweise via Browsersynchronisation auf verschiedenen Geräten landen. Im Falle des Chrome-Synchronisationsdienstes können sie auch von Google ausgewertet werden. Telegram beschreibt das Verhalten laut Mishra als gewollt.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass die Kommunikation nicht standardmäßig Ende zu Ende verschlüsselt stattfindet. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Dabei unterstützt Telegram verschlüsselte Konversationen auch nur zwischen zwei Endgeräten. Verwendet ein Nutzer mehrere Geräte, beispielsweise den Messenger auf dem Smartphone und die Desktop-App, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende zu Ende verschlüsseln.

Kritisiert wird zudem Telegrams selbstentwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, der praktisch nicht mehr im Einsatz ist und von keinem bekannten Krypto-Protokoll genutzt wird. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung auch in mehreren Jahrzehnten nicht knacken können.

Nachtrag vom 2. Oktober 2018, 11:30 Uhr

Im Artikel hieß es ursprünglich versehentlich, dass Telegram Video- und Sprachanrufe unterstütze. Telegram bietet jedoch nur Videonachrichten und keine Videotelefonie an. Wir haben den Artikel entsprechend abgeändert.

Pavel Durov, CEO bei Telegram, hat sich zu den Vorfällen geäußert. Wir haben einen Satz dazu nachgefügt.



Anzeige
Top-Angebote
  1. 149,90€
  2. (u. a. Sandisk 512-GB-SSD für 55,00€, WD Elements Exclusive Edition 2 TB für 59,00€ und Abend...
  3. 31,99€

mtr (golem.de) 02. Okt 2018

Lieber lightview, Vielen Dank für deine Anmerkungen, die uns natürlich interessieren...

jg (Golem.de) 02. Okt 2018

Wir kannten die Erklärung des CEO zum Zeitpunkt der Artikelveröffentlichung nicht, die ja...

chefin 02. Okt 2018

Eigentlich noch viel banaler: du bekommst die IP des Mobilfunkmasten bei 90% der...

chefin 02. Okt 2018

hää? Nix verstehn vom Internet Du kannst IP-Adressen nicht unterdrücken, sondern nur...

elidor 01. Okt 2018

Und man kann verschlüsselte Nachrichten nicht auf 7 Server aufteilen, sondern nur...


Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Acer Predator Thronos im Sit on: Der Nerd-Olymp
    Acer Predator Thronos im Sit on
    Der Nerd-Olymp

    Ifa 2019 Ob wir es nun den eisernen Thron oder den Sitz der Götter nennen: Der Predator Thronos von Acer fällt auf dem Messestand des Herstellers schon auf. Golem.de konnte den skurrilen Stuhl ausprobieren. Er ist eines Gaming-Kellers würdig.
    Ein Hands on von Oliver Nickel

    1. Nitro XV273X Acer baut ersten Monitor mit IPS-Panel und 240 Hz
    2. Acer Beim Predator-Notebook fährt die Tastatur wie eine Rampe aus
    3. Geräte für Mediengestalter Acer gibt Verfügbarkeit der Concept-D-Laptops bekannt

      •  /