Telegram-Protokoll: Geräte-Identifier in jeder Nachricht

Forscher haben ein Problem mit allen populären Telegram-Clients festgestellt, das Nutzer auch bei Secret-Chats trackbar macht.

Fehlende Ende-zu-Ende-Verschlüsselung

"Kein Byte privater Nachrichten"

Anschuldigung zu FSB-Verbindungen

Telegram sagt, es gäbe keine Probleme

Telegram: die App für Privacy-LARPer

Telegram wird von vielen für seinen Datenschutz geschätzt. Dafür, dass sie nicht mit Behörden kooperieren. Dafür, dass das UI so hübsch ist. Kritik hagelt es dennoch seit langem; nicht nur wegen des Milliardärs, der die App besitzt, sondern auch wegen technischer Probleme.

Fehlende Ende-zu-Ende-Verschlüsselung

Telegramm wirbt mit Verschlüsselung, vergisst dabei aber etwas Wichtiges zu erwähnen: Telegram hat die Schlüssel, zumindest meistens. Solange man keinen Secret Chat nutzt, hat Telegram Zugriff auf deine Nachrichten. Kryptografie-Forscher kritisieren Telegram für das irreführende Marketing und Pawel Durow kritisiert gern sicher-verschlüsselte Alternativen wie Signal. Kritik am selbst gerollten Krypto-Verfahren MTProto ist von Telegram nicht gern gesehen. MTProto ist sicher. Telegram lässt auch gegenteilige Untersuchungen und Listen mit Problemen von Experten nichts gegenteiliges Behaupten. Sie werden dann von Telegram lieber als ahnungslos dargestellt.

„Kein Byte privater Nachrichten“

Pawel Durow und Telegram selbst betonen gern wieder und wieder:

Telegram hat niemals auch nur ein einziges Byte von privaten Nachrichten Weitergegeben — Pawel Durow in seinem Telegram-Kanal

Telegram hat niemals auch nur ein einziges Byte von privaten Nachrichten Weitergegeben

— Pawel Durow in seinem Telegram-Kanal

Hier stellen sich dann aber ein paar Fragen: Was bedeutet „privat“? Immerhin werden die normalen Direktnachrichten ja mit Telegram geteilt. Was ist mit anderen Daten wie Verbindungs- und Metadaten? Da ist Telegram großzügiger und gibt die Daten tausender Nutzer heraus.

Anschuldigung zu FSB-Verbindungen

Letztes Jahr berichtete OCCRP über potenzielle FSB-Verbindungen des Telegram-Netzbetreibers. Die Anschuldigungen sind recht weitreichend, würden aber erklären, warum die Plattform von den russischen Geheimdiensten nicht gesperrt wird. Ein umfangreicher Bericht der Sicherheitsforscher von Symbolic Software hat jetzt diese Behauptungen geprüft und dabei eine massive Lücke in Telegrams Clients aufgedeckt: Telegram schickt MTProto einfach im Klartext, ohne extra Verschlüsselung.

Eine Geräte-ID wird unverschlüsselt mitgeschickt

Der unverschlüsselte Teil heißt auth_key_id. Das macht es möglich ein Gerät eines Nutzers zu identifizieren. — Michał Woźniak

Der unverschlüsselte Teil........

© Tarnkappe