Sicherheitslücke: Telegram will Bounty nur gegen Schweigen auszahlen

Erst nach Monaten bestätigt Telegram eine Sicherheitslücke und fixt sie. Ihr Entdecker solle aber schweigen, wenn er einen Bug Bounty will.

Artikel veröffentlicht am ,
Telegram hat Nachrichten nicht zuverflässig gelöscht.
Telegram hat Nachrichten nicht zuverflässig gelöscht. (Bild: Thomas Ulrich/Pixabay)

Der Sicherheitsforscher Dmitrii hatte bereits Anfang des Jahres eine Sicherheitslücke (CVE-2021-41861) in Telegram entdeckt, doch der Hersteller benötigte Monate, um einen einfachen Fix bereitzustellen. Für ein Bug Bounty hätte der Entdecker obendrein Stillschweigen über die Lücke bewahren müssen.

Stellenmarkt
  1. Referent Kosten- und Leistungsrechnung (m/w/d)
    Bundesgesellschaft für Endlagerung mbH (BGE), Peine
  2. Funktionsentwickler Funktionale Sicherheit (m/w/d)
    Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
Detailsuche

Wie viele andere Messenger bietet Telegram eine Option, mit der Nachrichten automatisch nach einem bestimmten Zeitraum - beispielsweise 24 Stunden oder sieben Tage - gelöscht werden. Der Sicherheitsforscher Dmitrii hatte sich die Funktion angesehen und nur wenige Tage später entdeckt, dass die Nachrichten und Bilder zwar nach dem gesetzten Zeitraum aus dem Chatverlauf in der Telegram-App verschwinden, aber immer noch im Gerätespeicher zu finden sind.

So konnten die eigentlich gelöschten Bilder in der Android-App von Telegram zwischen Version 7.5.0 bis 7.8.0 im Verzeichnis /Storage/Emulated/0/Telegram/Telegram weiterhin abgerufen werden. Der Sicherheitsforscher meldete die Sicherheitslücke bereits im März an Telegram, nach monatelanger Korrespondenz bestätigte Telegram den Fehler im September und arbeite mit dem Forscher bei anschließenden Beta-Tests zusammen.

Telegram: Bug Bounty nur gegen Schweigen

Für seinen Bemühungen sollte der Sicherheitsforscher ein Bug Bounty von 1.000 Euro erhalten, berichtet das Onlinemagazin Ars Technica. Dafür sollte Dimitrii jedoch einen Vertrag unterzeichnen: "Nachdem ich den von einem Telegram-Vertreter per E-Mail zugesandten Vertrag studiert hatte, fiel mir auf, dass Telegram von [mir] verlangt, keine Details der Zusammenarbeit/technische Details ohne schriftliche Genehmigung zu veröffentlichen", erklärt der Sicherheitsforscher.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    27./28.09.2022, Virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    26./27.10.2022, virtuell
Weitere IT-Trainings

Üblicherweise werden Lücken von Sicherheitsforschern jedoch nach einem Fix oder nach 60 bis 90 Tagen veröffentlicht - selbst wenn sie nicht geschlossen wurden. Seit der Vertragszusendung hat Dimitrii nichts mehr von Telegram gehört. Einen Bounty hat er nach eigenen Angaben nicht bekommen.

Ein anderer Sicherheitsforscher hatte bereits 2019 einen ähnlichen Fehler entdeckt, bei dem Telegram ebenfalls Nachrichten nicht zuverlässig gelöscht hatte und die Bilder weiterhin im Gerätespeicher vorhanden waren. Der Entdecker bekam damals jedoch einen Bug Bounty über 2.500 Euro und musste keine Schweigeerklärung unterschreiben.

Telegram wird zudem immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende verschlüsseln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 06. Okt 2021

Ich brauch mit 10.000 bis 200.000 Leuten in einer Gruppe, plus haufenweise Bots, auch...

John2k 06. Okt 2021

Performance und Funktionsweise beider ist komplett unterschiedlich. Ich mag eher...

El_Dino 05. Okt 2021

Na super diese Lücke hab ich vor zwei Jahren gefunden nur weil ich jemanden beweisen...

Vögelchen 05. Okt 2021

Kann man mW die Ende zu Ende-Verschlüsselung überhaupt nicht aktivieren. Auch nicht für...



Aktuell auf der Startseite von Golem.de
Pendix eDrive
Ein E-Bike wie kein anderes

Pendix bietet einen Umbausatz, mit dem aus normalen Fahrrädern E-Bikes werden. Nicht ganz billig - aber auf jeden Fall ein Vergnügen.
Ein Test von Martin Wolf

Pendix eDrive: Ein E-Bike wie kein anderes
Artikel
  1. European Chips Act: Industrie fordert mehr Geld für ältere Technologien
    European Chips Act
    Industrie fordert mehr Geld für ältere Technologien

    Industrievertreter sind unzufrieden mit dem Fokus des EU Chips Acts auf kleine Strukturgrößen. Sie fordern ein Umdenken der EU-Kommission und mehr Geld.

  2. Effizienter und schneller: Die Bundeswehr wird digitaler
     
    Effizienter und schneller: Die Bundeswehr wird digitaler

    Viele Unternehmen und Organisationen haben erkannt, dass Digitalisierung das Arbeitsleben effizienter machen kann. Bereits auf einem sehr guten Weg ist die Bundeswehr.
    Sponsored Post von BWI

  3. US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
    US-Whistleblower  
    Putin verleiht Snowden die russische Staatsbürgerschaft

    US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, FIFA 23 PS5 59,99€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /