Sicherheitslücke: Telegram will Bounty nur gegen Schweigen auszahlen

Erst nach Monaten bestätigt Telegram eine Sicherheitslücke und fixt sie. Ihr Entdecker solle aber schweigen, wenn er einen Bug Bounty will.

Artikel veröffentlicht am ,
Telegram hat Nachrichten nicht zuverflässig gelöscht.
Telegram hat Nachrichten nicht zuverflässig gelöscht. (Bild: Thomas Ulrich/Pixabay)

Der Sicherheitsforscher Dmitrii hatte bereits Anfang des Jahres eine Sicherheitslücke (CVE-2021-41861) in Telegram entdeckt, doch der Hersteller benötigte Monate, um einen einfachen Fix bereitzustellen. Für ein Bug Bounty hätte der Entdecker obendrein Stillschweigen über die Lücke bewahren müssen.

Stellenmarkt
  1. BI Data Engineer (m/w/d)
    Vodafone GmbH, Düsseldorf
  2. IT-Architekt*in für die Abteilung Informations- und Kommunikationstechnologie
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
Detailsuche

Wie viele andere Messenger bietet Telegram eine Option, mit der Nachrichten automatisch nach einem bestimmten Zeitraum - beispielsweise 24 Stunden oder sieben Tage - gelöscht werden. Der Sicherheitsforscher Dmitrii hatte sich die Funktion angesehen und nur wenige Tage später entdeckt, dass die Nachrichten und Bilder zwar nach dem gesetzten Zeitraum aus dem Chatverlauf in der Telegram-App verschwinden, aber immer noch im Gerätespeicher zu finden sind.

So konnten die eigentlich gelöschten Bilder in der Android-App von Telegram zwischen Version 7.5.0 bis 7.8.0 im Verzeichnis /Storage/Emulated/0/Telegram/Telegram weiterhin abgerufen werden. Der Sicherheitsforscher meldete die Sicherheitslücke bereits im März an Telegram, nach monatelanger Korrespondenz bestätigte Telegram den Fehler im September und arbeite mit dem Forscher bei anschließenden Beta-Tests zusammen.

Telegram: Bug Bounty nur gegen Schweigen

Für seinen Bemühungen sollte der Sicherheitsforscher ein Bug Bounty von 1.000 Euro erhalten, berichtet das Onlinemagazin Ars Technica. Dafür sollte Dimitrii jedoch einen Vertrag unterzeichnen: "Nachdem ich den von einem Telegram-Vertreter per E-Mail zugesandten Vertrag studiert hatte, fiel mir auf, dass Telegram von [mir] verlangt, keine Details der Zusammenarbeit/technische Details ohne schriftliche Genehmigung zu veröffentlichen", erklärt der Sicherheitsforscher.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Kubernetes Dive-in-Workshop: virtueller Zwei-Tage-Workshop
    16.–17. November 2021, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    25.–26. November 2021, virtuell
Weitere IT-Trainings

Üblicherweise werden Lücken von Sicherheitsforschern jedoch nach einem Fix oder nach 60 bis 90 Tagen veröffentlicht - selbst wenn sie nicht geschlossen wurden. Seit der Vertragszusendung hat Dimitrii nichts mehr von Telegram gehört. Einen Bounty hat er nach eigenen Angaben nicht bekommen.

Ein anderer Sicherheitsforscher hatte bereits 2019 einen ähnlichen Fehler entdeckt, bei dem Telegram ebenfalls Nachrichten nicht zuverlässig gelöscht hatte und die Bilder weiterhin im Gerätespeicher vorhanden waren. Der Entdecker bekam damals jedoch einen Bug Bounty über 2.500 Euro und musste keine Schweigeerklärung unterschreiben.

Telegram wird zudem immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende verschlüsseln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 06. Okt 2021 / Themenstart

Ich brauch mit 10.000 bis 200.000 Leuten in einer Gruppe, plus haufenweise Bots, auch...

John2k 06. Okt 2021 / Themenstart

Performance und Funktionsweise beider ist komplett unterschiedlich. Ich mag eher...

El_Dino 05. Okt 2021 / Themenstart

Na super diese Lücke hab ich vor zwei Jahren gefunden nur weil ich jemanden beweisen...

Vögelchen 05. Okt 2021 / Themenstart

Kann man mW die Ende zu Ende-Verschlüsselung überhaupt nicht aktivieren. Auch nicht für...

Kommentieren



Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Adobe Max 2021: Mehr KI-Funktionen in Photoshop und Premiere Pro
    Adobe Max 2021
    Mehr KI-Funktionen in Photoshop und Premiere Pro

    Adobe hat eine bessere Objektauswahl und einfacheres Kolorieren in Photoshop sowie Optionen für Musikremixing in Premiere Pro vorgestellt.

  2. Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
    Rockstar Games
    Neue GTA Trilogy läuft auch auf älterer PC-Hardware

    Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

  3. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Nintendo Switch OLED 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 ab 2.249€ • EA-Spiele günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /