Sicherheitslücke: Telegram will Bounty nur gegen Schweigen auszahlen

Erst nach Monaten bestätigt Telegram eine Sicherheitslücke und fixt sie. Ihr Entdecker solle aber schweigen, wenn er einen Bug Bounty will.

Artikel veröffentlicht am ,
Telegram hat Nachrichten nicht zuverflässig gelöscht.
Telegram hat Nachrichten nicht zuverflässig gelöscht. (Bild: Thomas Ulrich/Pixabay)

Der Sicherheitsforscher Dmitrii hatte bereits Anfang des Jahres eine Sicherheitslücke (CVE-2021-41861) in Telegram entdeckt, doch der Hersteller benötigte Monate, um einen einfachen Fix bereitzustellen. Für ein Bug Bounty hätte der Entdecker obendrein Stillschweigen über die Lücke bewahren müssen.

Stellenmarkt
  1. Systemadministrator*in (m/w/d) für IT-Basisdienste
    Stiftung Preußischer Kulturbesitz, Berlin
  2. Scrum Master (m/w/d)
    Vodafone GmbH, Düsseldorf
Detailsuche

Wie viele andere Messenger bietet Telegram eine Option, mit der Nachrichten automatisch nach einem bestimmten Zeitraum - beispielsweise 24 Stunden oder sieben Tage - gelöscht werden. Der Sicherheitsforscher Dmitrii hatte sich die Funktion angesehen und nur wenige Tage später entdeckt, dass die Nachrichten und Bilder zwar nach dem gesetzten Zeitraum aus dem Chatverlauf in der Telegram-App verschwinden, aber immer noch im Gerätespeicher zu finden sind.

So konnten die eigentlich gelöschten Bilder in der Android-App von Telegram zwischen Version 7.5.0 bis 7.8.0 im Verzeichnis /Storage/Emulated/0/Telegram/Telegram weiterhin abgerufen werden. Der Sicherheitsforscher meldete die Sicherheitslücke bereits im März an Telegram, nach monatelanger Korrespondenz bestätigte Telegram den Fehler im September und arbeite mit dem Forscher bei anschließenden Beta-Tests zusammen.

Telegram: Bug Bounty nur gegen Schweigen

Für seinen Bemühungen sollte der Sicherheitsforscher ein Bug Bounty von 1.000 Euro erhalten, berichtet das Onlinemagazin Ars Technica. Dafür sollte Dimitrii jedoch einen Vertrag unterzeichnen: "Nachdem ich den von einem Telegram-Vertreter per E-Mail zugesandten Vertrag studiert hatte, fiel mir auf, dass Telegram von [mir] verlangt, keine Details der Zusammenarbeit/technische Details ohne schriftliche Genehmigung zu veröffentlichen", erklärt der Sicherheitsforscher.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Üblicherweise werden Lücken von Sicherheitsforschern jedoch nach einem Fix oder nach 60 bis 90 Tagen veröffentlicht - selbst wenn sie nicht geschlossen wurden. Seit der Vertragszusendung hat Dimitrii nichts mehr von Telegram gehört. Einen Bounty hat er nach eigenen Angaben nicht bekommen.

Ein anderer Sicherheitsforscher hatte bereits 2019 einen ähnlichen Fehler entdeckt, bei dem Telegram ebenfalls Nachrichten nicht zuverlässig gelöscht hatte und die Bilder weiterhin im Gerätespeicher vorhanden waren. Der Entdecker bekam damals jedoch einen Bug Bounty über 2.500 Euro und musste keine Schweigeerklärung unterschreiben.

Telegram wird zudem immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende verschlüsseln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 06. Okt 2021 / Themenstart

Ich brauch mit 10.000 bis 200.000 Leuten in einer Gruppe, plus haufenweise Bots, auch...

John2k 06. Okt 2021 / Themenstart

Performance und Funktionsweise beider ist komplett unterschiedlich. Ich mag eher...

El_Dino 05. Okt 2021 / Themenstart

Na super diese Lücke hab ich vor zwei Jahren gefunden nur weil ich jemanden beweisen...

Vögelchen 05. Okt 2021 / Themenstart

Kann man mW die Ende zu Ende-Verschlüsselung überhaupt nicht aktivieren. Auch nicht für...

Kommentieren



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /