Angebliche Telegram-Sicherheitslücke legt Telefonnummern offen

Moderne Instant Messenger spielen eine entscheidende Rolle in der Gesellschaft. Dank des enormen Wachstums von Social Media und zunehmender Datenschutzbedenken bewegen sich immer mehr solcher Plattformen in Richtung einer Ende-zu-Ende-Verschlüsselung, einer zwingenden Unterstützung der Anonymität und der Meinungsfreiheit.

Angebliche Telegram-Sicherheitslücke legt Telefonnummern offen

Telegramm: Einer der beliebtesten IMs

Die russischen Unternehmer Durov Brothers gründeten Telegram, das heute Menschenrechtsaktivisten auf der ganzen Welt ein Begriff ist. Natürlich kannst du deinen eigenen Weed-Kanal einrichten, indem du die umfangreichen datenschutzorientierten Funktionen nutzt, aber lassen wir das vorerst beiseite.

Telegram benötigt die Telefonnummer der Benutzer, um ihre Konten zu erstellen und (optional) zu authentifizieren. Es kann möglich sein, die Telefonnummer aus Ihren Kontoinformationen zu verbergen, aber es gibt einen Haken!

F: Wer kann meine Telefonnummer sehen?

Bei Telegram können Sie Nachrichten in privaten Chats und Gruppen senden, ohne Ihre Telefonnummer sichtbar zu machen. Standardmäßig ist Ihre Nummer nur für Personen sichtbar, die Sie Ihrem Adressbuch als Kontakte hinzugefügt haben. Sie können dies unter Einstellungen > Datenschutz und Sicherheit > Telefonnummer weiter ändern.

Beachten Sie, dass die Leute Ihre Nummer immer sehen, wenn sie sie bereits kennen und in ihrem Adressbuch gespeichert haben.

Angebliche Telegram-Sicherheitslücke legt Telefonnummern offen

Anscheinend kann dieses Design verwendet werden, um die Privatsphärenmauer von Telegram-Besitzern zu umgehen, insbesondere in sensiblen Szenarien. Ein betrügerischer Benutzer kann eine Reihe von fortlaufenden Nummern im Telefonbuch hinzufügen. Anschließend können sie es mit einem öffentlichen Kanal verbinden und die Kontaktdaten synchronisieren.

Über das Ergebnis kann man wohl schon spekulieren. Telegram gibt dem Angreifer nach der Synchronisierung alle Kontaktdaten der Entitäten, deren Nummer sich in dieser Liste befindet. Falls der Schurke eine Strafverfolgungsbehörde ist, ist es ein Kinderspiel, die Person hinter dieser Nummer zu finden.

Ein Konstruktionsfehler in Telegram kann ausgenutzt werden, um personenbezogene Daten über Telefonnummern preiszugeben. Der Fehler wird von Demonstranten in Hongkong entdeckt.

Der schlimmste Albtraum! (Quelle)

Die Hongkonger Anti-Auslieferungsgesetz-Demonstranten sind aufgrund der Vorteile wie der massiven Skalierbarkeit hauptsächlich von Telegram abhängig Supergruppen und die Datenschutzfaktoren. Der Fehler wurde zuerst in LIHKG entdeckt, einem beliebten Ziel für Online-Foren für Einwohner von Hongkong.

Telegramm Angebliche Telegram-Sicherheitslücke legt Telefonnummern offen

Unabhängige Sicherheitsforscher bestätigten auch den Angriffsvektor, und es gibt keine einfache Möglichkeit, ihn zu patchen, ohne die Hintergrundlogik des IM selbst zu benötigen. Demonstranten in Hongkong wird empfohlen, Brenner-SIMs zu verwenden, da ein Wechsel auf eine andere Plattform nicht möglich ist.

1. Alice, eine Telegram-Benutzerin, ist in einer öffentlichen Gruppe namens CommonsGroup

2. Alice möchte nicht, dass jemand ihre Telefonnummer in Telegram sieht. Also versteckt sie ihre Telefonnummer in den Datenschutzeinstellungen von Telegram. (Datenschutz > Telefonnummer > Niemand)

3. Mallory, der Angreifer, will die wahre Identität der Mitglieder der CommonsGroup aufdecken.

4. Mallory fügt dem Adressbuch ihres Telefons nacheinander eine große Anzahl von Telefonnummern hinzu, vorausgesetzt, Alices Telefonnummer ist in der Liste enthalten. (wir haben das Hinzufügen von 10.000 Telefonnummern getestet)

5. Mallory synchronisiert ihre Kontakte mit Telegram

6. Mallory tritt der CommonsGroup bei (die öffentlich ist)

erwartetes Ergebnis

Alices Telefonnummer wird niemals in den Telegram-Gruppeninformationen angezeigt, da sie den Datenschutz der Telefonnummer auf Niemand eingestellt hat.

Tatsächliche Ergebnis

Mallory kann Alices Telefonnummer in den Gruppeninformationen sehen. Theoretisch kann Mallory, wenn sie genügend Telefonnummern hinzufügt, die Telefonnummern aller Mitglieder in öffentlichen Gruppen ermitteln. Es ist eine echte Bedrohung für uns, weil der Platz für Telefonnummern in Hongkong begrenzt ist

Im Moment möchte Telegram die Situation nicht als "Bug" bezeichnen, da ihre offiziellen FAQ die Einschränkung der Funktion zum Verbergen von Telefonnummern erklären.

Angebliche Telegram-Sicherheitslücke legt Telefonnummern offen

Vor einigen Monaten litt Telegram unter einem staatlich geförderten DDoS-Angriff. Angeblich gab es eine starke Korrelation zwischen diesem Angriff und den Protesten in Hongkong. Die Situation ist diesmal viel chaotischer, da das Leben der Demonstranten gefährdet sein könnte.

Facebook Twitter Google Plus Pinterest