Sicherheitslücke: Telegram will Bounty nur gegen Schweigen auszahlen
Der Sicherheitsforscher Dmitrii hatte bereits Anfang des Jahres eine Sicherheitslücke (CVE-2021-41861) in Telegram entdeckt, doch der Hersteller benötigte Monate, um einen einfachen Fix bereitzustellen. Für ein Bug Bounty hätte der Entdecker obendrein Stillschweigen über die Lücke bewahren müssen.
Wie viele andere Messenger bietet Telegram eine Option(öffnet im neuen Fenster) , mit der Nachrichten automatisch nach einem bestimmten Zeitraum - beispielsweise 24 Stunden oder sieben Tage - gelöscht werden. Der Sicherheitsforscher Dmitrii hatte sich die Funktion angesehen und nur wenige Tage später entdeckt, dass die Nachrichten und Bilder zwar nach dem gesetzten Zeitraum aus dem Chatverlauf in der Telegram-App verschwinden, aber immer noch im Gerätespeicher zu finden sind.
So konnten die eigentlich gelöschten Bilder in der Android-App von Telegram zwischen Version 7.5.0 bis 7.8.0 im Verzeichnis /Storage/Emulated/0/Telegram/Telegram weiterhin abgerufen werden. Der Sicherheitsforscher meldete die Sicherheitslücke bereits im März an Telegram, nach monatelanger Korrespondenz bestätigte Telegram den Fehler im September und arbeite mit dem Forscher bei anschließenden Beta-Tests zusammen.
Telegram: Bug Bounty nur gegen Schweigen
Für seinen Bemühungen sollte der Sicherheitsforscher ein Bug Bounty von 1.000 Euro erhalten, berichtet das Onlinemagazin Ars Technica.(öffnet im neuen Fenster) Dafür sollte Dimitrii jedoch einen Vertrag unterzeichnen: "Nachdem ich den von einem Telegram-Vertreter per E-Mail zugesandten Vertrag studiert hatte, fiel mir auf, dass Telegram von [mir] verlangt, keine Details der Zusammenarbeit/technische Details ohne schriftliche Genehmigung zu veröffentlichen," erklärt der Sicherheitsforscher.
Üblicherweise werden Lücken von Sicherheitsforschern jedoch nach einem Fix oder nach 60 bis 90 Tagen veröffentlicht - selbst wenn sie nicht geschlossen wurden. Seit der Vertragszusendung hat Dimitrii nichts mehr von Telegram gehört. Einen Bounty hat er nach eigenen Angaben nicht bekommen.
Ein anderer Sicherheitsforscher hatte bereits 2019 einen ähnlichen Fehler entdeckt , bei dem Telegram ebenfalls Nachrichten nicht zuverlässig gelöscht hatte und die Bilder weiterhin im Gerätespeicher vorhanden waren. Der Entdecker bekam damals jedoch einen Bug Bounty über 2.500 Euro und musste keine Schweigeerklärung unterschreiben.
Telegram wird zudem immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden(öffnet im neuen Fenster) . Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende verschlüsseln.