Messenger: Telegram-Anrufe verraten IP-Adressen

Telefonanrufe via Telegram können die persönliche IP-Adresse verraten. Neue Optionen sollen dies auch auf dem Desktop verhindern können. Grundsätzliche Probleme bleiben jedoch ungelöst.

Artikel veröffentlicht am ,
Telegram vermarktet sich selbst als sicheren Messenger.
Telegram vermarktet sich selbst als sicheren Messenger. (Bild: Lobo Studio Hamburg/CC0 1.0)

Werden Telefonanrufe über Telegram mittels Peer-to-Peer (P2P) abgewickelt, werden auch die IP-Adressen der Kommunikationsteilnehmer übermittelt. Die Anrufe können alternativ über Telegram-Server getunnelt werden, sofern die Einstellung durch den Nutzer gesetzt wird. Diese Einstellung wurde Nutzern der Telegram-Desktop-App sowie der Windows-Version des Messengers jedoch nicht angeboten, wie dem Sicherheitsforscher Dhiraj Mishra aufgefallen ist. Laut Telegram sollten IP-Adressen zudem nur an bekannte Kontakte weitergegeben werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    BruderhausDiakonie Stiftung Gustav Werner und Haus am Berg, Reutlingen
  2. Applikationsbetreuer*in CRM-System Vertrieb
    Kölner Verkehrs-Betriebe AG, Köln
Detailsuche

Ein Telegram-Feature sind Sprachanrufe. Diese werden entweder über Telegram-Server oder zwischen den telefonierenden Geräten abgewickelt. Letzteres wird Peer-to-Peer genannt und übermittelt die IP-Adressen der Kommunikationsteilnehmer. Dhiraj Mishra konnte sich bei einem Anruf die IP-Adressen eines Telegram-Servers, seine eigene und die seines Gegenübers ausgeben lassen. Laut Telegram sei die Standardeinstellung, dass P2P-Anrufe nur mit bekannten Kontakten verwendet würden. Damit würde auch die IP-Adresse nur mit Meinen Kontakten, so die Standardoption der P2P-Einstellung, geteilt. Allerdings sei diese Einstellung bei einer Neuregistrierung von Telegram für einen Zeitraum von mehreren Stunden nicht gesetzt gewesen. Dadurch könnten IP-Adressen an unbekannte Anrufer abgeflossen sein. Telegrams CEO Pavel Durov erklärte in seinem Telegram-Kanal, dass Telegram Desktop nur an 0,01 Prozent der Anrufe auf Telegram beteiligt sei.

In den offiziellen Telegram-Apps für iOS und Android ließ sich das Verhalten schon bisher komplett deaktivieren. Hierzu müssen P2P-Anrufe komplett abgeschaltet werden. Unter Telegram Desktop und Telegram Messenger für Windows konnte diese Einstellung bis vor kurzem nicht gesetzt und einer Übermittlung der eigenen IP-Adresse nicht entgangen werden. Seit der Veröffentlichung der Versionen 1.3.17beta und 1.4.0 lässt sich auch hier die P2P-Funktion deaktivieren. Mishra erhielt für das Melden des Fehlers 2.000 Euro von Telegram.

Der Sicherheitsforscher entdeckte kurz zuvor ein weiteres Problem in t.me. Der Dienst ermöglicht Telegram-Nutzern, öffentlich unter einem selbstgewählten Benutzernamen erreichbar zu sein, ohne dass diese ihre Telefonnummer veröffentlichen müssen. Wird ein Proxy-Server verwendet, überträgt T.me die Zugangsdaten zu diesem zwar verschlüsselt, allerdings finden sich der Benutzername und das Passwort im Klartext in der URL. Sie können damit auch in den Browserverlauf eingehen und beispielsweise via Browsersynchronisation auf verschiedenen Geräten landen. Im Falle des Chrome-Synchronisationsdienstes können sie auch von Google ausgewertet werden. Telegram beschreibt das Verhalten laut Mishra als gewollt.

Sicherheitsfunktionen von Telegram umstritten

Golem Karrierewelt
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    20.-23.02.2023, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    05.-07.12.2022, Virtuell
Weitere IT-Trainings

Telegram wird immer wieder vorgeworfen, dass die Kommunikation nicht standardmäßig Ende zu Ende verschlüsselt stattfindet. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Dabei unterstützt Telegram verschlüsselte Konversationen auch nur zwischen zwei Endgeräten. Verwendet ein Nutzer mehrere Geräte, beispielsweise den Messenger auf dem Smartphone und die Desktop-App, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende zu Ende verschlüsseln.

Kritisiert wird zudem Telegrams selbstentwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, der praktisch nicht mehr im Einsatz ist und von keinem bekannten Krypto-Protokoll genutzt wird. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung auch in mehreren Jahrzehnten nicht knacken können.

Nachtrag vom 2. Oktober 2018, 11:30 Uhr

Im Artikel hieß es ursprünglich versehentlich, dass Telegram Video- und Sprachanrufe unterstütze. Telegram bietet jedoch nur Videonachrichten und keine Videotelefonie an. Wir haben den Artikel entsprechend abgeändert.

Pavel Durov, CEO bei Telegram, hat sich zu den Vorfällen geäußert. Wir haben einen Satz dazu nachgefügt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mtr (golem.de) 02. Okt 2018

Lieber lightview, Vielen Dank für deine Anmerkungen, die uns natürlich interessieren...

jg (Golem.de) 02. Okt 2018

Wir kannten die Erklärung des CEO zum Zeitpunkt der Artikelveröffentlichung nicht, die ja...

chefin 02. Okt 2018

Eigentlich noch viel banaler: du bekommst die IP des Mobilfunkmasten bei 90% der...

chefin 02. Okt 2018

hää? Nix verstehn vom Internet Du kannst IP-Adressen nicht unterdrücken, sondern nur...



Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. NIS 2 und Compliance vs. Security: Kann Sicherheit einfach beschlossen werden?
    NIS 2 und Compliance vs. Security
    Kann Sicherheit einfach beschlossen werden?

    Mit der NIS-2-Richtlinie will der Gesetzgeber für IT-Sicherheit sorgen. Doch gut gemeinte Regeln kommen in der Praxis nicht immer unbedingt auch gut an.
    Von Nils Brinker

  2. Artemis I: Orion-Kapsel ist in Mondorbit eingeschwenkt
    Artemis I
    Orion-Kapsel ist in Mondorbit eingeschwenkt

    Die Testmission für Mondlandungen der Nasa Artemis I hat den Mond erreicht. In den kommenden Tagen macht sich die Orion-Kapsel auf den Rückweg.

  3. Apple-Auftragsfertiger: Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust
    Apple-Auftragsfertiger
    Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust

    Foxconn soll Einstellungsprämien an Arbeiter nicht gezahlt haben, weshalb es zu Unruhen kam. Nun gab es Massenkündigungen. Für Apple ist die Situation gefährlich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN770 500GB 49,99€ • GIGABYTE Z690 AORUS ELITE 179€ • Seagate FireCuda 530 1TB 119,90€ • Crucial P3 Plus 1TB 81,99 & P2 1TB 67,99€ • Alpenföhn Wing Boost 3 ARGB 120 3er-Pack 42,89€ [Werbung]
    •  /