Original-URL des Artikels: https://www.golem.de/news/datenschutz-telegrams-privatsphaereeinstellung-laesst-sich-leicht-umgehen-1908-143492.html    Veröffentlicht: 28.08.2019 12:54    Kurz-URL: https://glm.io/143492

Datenschutz

Telegrams Privatsphäreeinstellung lässt sich leicht umgehen

Nicht nur Protestierende in Hongkong nutzen eine Privatsphäreoption von Telegram, damit ihre Telefonnummer "Niemand" sehen kann. Doch die Option lässt sich leicht umgehen: Aus niemand werden ganz schön viele.

Gruppenchats im Messenger Telegram können eigentlich pseudonym genutzt werden, ohne die eigene Telefonnummer mit den Mitgliedern zu teilen. Doch die versprochene Privatsphäre kann leicht ausgehebelt werden, was Aktivisten in Hongkong, die sich auf die Funktion verlassen hatten, in Gefahr bringt. Zuerst hatten die Süddeutsche Zeitung und Forbes berichtet.

Tausende Demonstranten in Hongkong besprechen sich in Gruppenchats des Messengers Telegram. "Die anonymen Organisatoren der Gruppen werden sowohl von der Regierung bedroht als auch von Gangstern der Triaden, die die Regierung unterstützen", erklärte der Softwareentwickler Chu Ka-Cheong der Süddeutschen Zeitung. "Privatsphäre und Anonymität kann bei ihnen über Leben und Tod entscheiden."

In den Privatsphäreoptionen der Messenger-App Telegram können die Nutzer die Sichtbarkeit ihrer Telefonnummer einstellen. Standardmäßig bekommen die Nummer nur Kontakte zu sehen, die sich bereits im Adressbuch des Nutzers befinden. Es lassen sich aber auch die Optionen "Alle" oder "Niemand" auswählen. Je nach Einstellung können Nutzer in öffentlichen Telegram-Gruppen mitdiskutieren, ohne ihre Identität oder Telefonnummer preisgeben zu müssen.

Eingeschränkte Privatsphäre

Doch die Privatsphäre kann leicht ausgehebelt werden. Ein Angreifer muss hierzu ein Adressbuch mit den Telefonnummern von potenziellen Gruppenmitgliedern erstellen und dieses mit Telegram synchronisieren. Tritt der Angreifer anschließend dem Gruppenchat bei, werden ihm die Telefonnummern von allen Chatmitgliedern, die in seinem Adressbuch sind, angezeigt. Sollte der Angreifer noch nicht wissen, wem die Telefonnummer gehört, kann er - zumindest im Falle einer Sicherheitsbehörde - die Identität über die Mobilfunkunternehmen abfragen.

Auf diese drastische Einschränkung der Funktion weist Telegram sowohl in den FAQs auf seiner Webseite als auch unter den Auswahlmöglichkeiten in der App hin: "Beachten Sie, dass die Menschen, die ihre Nummer bereits kennen und sie in ihrem Adressbuch gespeichert haben, ihre Nummer immer sehen können", heißt es in den FAQs.

Die Hongkonger Aktivisten befürchten nun, dass chinesische Behörden versuchen, die Identität der Demonstrierenden über diesen Angriff herauszufinden. Ein Telegram-Sprecher erklärte der Süddeutschen Zeitung, dass ein Schutzmechanismus verhindern würde, dass solche Angriffe im großen Stil ausgeführt werden könnten. Ein Algorithmus stoppe Telegram-Konten, wenn sie massenhaft automatisiert Telefonnummern importierten. Dennoch sei es möglich, Tausende Telefonnummern mit einem Telegram-Konto zu importieren.

Diese Einschränkungen ermöglichen es allerdings, die Privatsphäreeinstellung leicht zu umgehen und stellen sie damit insgesamt infrage, insbesondere, wenn die Einstellung "Niemand" "kann meine Telefonnummer sehen" genannt wird. Telegram setzt immer wieder auf Funktionen, die unausgegoren wirken und bei den Nutzern ein falsches Gefühl von Sicherheit oder Privatsphäre hervorrufen können. Vergangenes Jahr konnte ein Sicherheitsforscher ein Privatsphäre-Feature von Telegram leicht umgehen: Eigentlich soll die IP-Adresse bei Telefonanrufen über Telegram nur bei bekannten Kontakten übermittelt werden, ansonsten sollen die Anrufe über Server von Telegram getunnelt und so die IP-Adresse geschützt werden. Durch eine falsch gesetzte Standardeinstellung seitens Telegram konnten jedoch IP-Adressen auch von Unbekannten abgegriffen werden.

Sicherheitsfunktionen von Telegram umstritten

Telegram wird immer wieder vorgeworfen, dass standardmäßig keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Vielmehr muss die Verschlüsselung für jeden Kontakt einzeln aktiviert werden. Diese wird zudem nur zwischen zwei Endgeräten unterstützt. Verwendet ein Nutzer den Messenger auf mehreren Geräten, beispielsweise seinem PC und seinem Smartphone, kann er nur mit einem Gerät eine verschlüsselte Konversation mit einer anderen Person beziehungsweise einem anderen Gerät aufbauen. Gruppenchats lassen sich grundsätzlich nicht Ende-zu-Ende-verschlüsseln.

Kritisiert wird zudem Telegrams selbst entwickeltes Verschlüsselungsprotokoll MTProto. Dieses enthält sehr ungewöhnliche Konstruktionen, beispielsweise AES im sogenannten IGE-Modus, einem ungewöhnlichen Verschlüsselungsmodus, den sonst kein bekanntes Kryptoprotokoll benutzt. Das bedeutet zwar nicht automatisch, dass Telegram unsicher ist, allerdings orientiert sich gute Kryptographie üblicherweise an gut und ausführlich getesteten Standards, die darauf ausgelegt sind, dass auch mächtige Gegner wie die NSA die Verschlüsselung in mehreren Jahrzehnten nicht knacken können.  (mtr)


Verwandte Artikel:
Messenger: Telegram-Anrufe verraten IP-Adressen   
(01.10.2018, https://glm.io/136890 )
Crypto Wars: Protest gegen Entschlüsselungszwang bei Whatsapp & Co   
(11.06.2019, https://glm.io/141825 )
Vertrauliche Messenger-Botschaften: Facebook hat auch deutsche Nutzer abgehört   
(28.08.2019, https://glm.io/143480 )
Messenger-App: Auch Facebook ließ Sprachaufnahmen abtippen   
(14.08.2019, https://glm.io/143194 )
Programmierung: Codestream ermöglicht Diskussionen am Code per Slack   
(05.08.2019, https://glm.io/142998 )

© 1997–2020 Golem.de, https://www.golem.de/