• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Previous Story
Apple: Unberechtigter Zugriff auf Entwickler- und ...

von Carsten Dobschat

Next Story
Apple MacBook Air aktualisiert: Jetzt mit neuer Ha ...

von Carsten Drees

Exploit für Telegram – offizieller Client ist nicht betroffen

von Carsten Dobschat am 29. April 2014
  • Email
  • @dobschat

Telegram gehört zu den WhatsApp-Alternativen, die nach dem Kauf von WhatsApp durch Facebook mit den größten Ansturm neuer Nutzer zu verkraften hatte. Sicherer als WhatsApp soll es sein und das Protokoll ist offen gelegt – das heißt aber nicht, dass man deswegen jede Vorsicht vergessen kann.

In einem Proof of Concept wurde nun nachgewiesen, dass Telegram recht einfach angreifbar ist, wenn man es schafft dem Nutzer einen manipulierten Client unterzujubeln. Und das ist gar nicht mal so schwer, wie man denkt. Es gibt bislang nur zwei offizielle Clients für Telegram für Android und iOS. Auf allen anderen Systemen sind bislang nur inoffizielle Clients verfügbar. Und solch ein inoffizieller Client kann für eine Man-in-the-middle-Attacke benutzt werden, über den der Angreifer vom Nutzer unbemerkt die volle Kontrolle über den Account erhält.

Die Authentifizierung bei Telegram basiert einerseits auf der Handy-Nummer und einem per SMS geschickten Code, auf der anderen Seite versichert sich der Client über die Identität der Telegram-Server durch eine fest hinterlegte Liste an IP-Adressen und Schlüsseln. Das funktioniert so lange gut, so lange diese Liste nicht manipuliert wird. Und das ist bei einem eigenen Client sehr einfach. Um diese Schwachstelle zu demonstrieren, wurde der Linux-Client CLI entsprechend manipuliert. Dieser manipulierte Client ist auch per GitHub verfügbar.

Natürlich gäbe es auch bei einem offenen Kommunikationsprotokoll und fremden Clients Möglichkeiten, solche Manipulationen zumindest für den Nutzer erkennbar zu machen, aber es ist fraglich, ob Telegram dann noch mit der einfachen Nutzung auftrumpfen könnte. Vielleicht gäbe es auch Möglichkeiten, ohne die Nutzerfreundlichkeit einzuschränken, man müsste sich darüber eben mal Gedanken machen. Leider scheinen die Telegram-Entwickler sich aber keine solchen Gedanken machen zu wollen:

  1. 7 March 2014: initial contact with Telegram informing them of the obtained results.
  2. 10 March 2014: Telegram response to the first email, informing that a malicious client is out of the scope of their security model. Their proposed solution, in order to achieve maximum security, is to use only the official client or open source clients that have been comprehensively verified.
  3. 11 March 2014: submission of the PoC to Telegram.
  4. 28 April 2014: 52nd day after first contact and after several unanswered mails, the results of this study are made public at INTECO’s website.

Die Entwickler sehen sich einfach als nicht zuständig für derlei Angriffe und wälzen die Verantwortung auf die Nutzer ab, die doch bitte nur die offiziellen oder Open Source Clients nutzen sollen. Zwar ist der Hinweis durchaus nicht ganz verkehrt, aber gerade in Anbetracht der Tatsache, dass auf der Telegram-Website auch inoffizielle Clients verlinkt werden, machen es sich die Entwickler hier doch ein bisschen zu einfach.

Heiss diskutiert
Warum sind Auto-Abos nicht beliebter?
von Nicole
Warum sind Auto-Abos nicht beliebter?
Die besten Passwort-Manager für 2021
von Michael Sprick
Die besten Passwort-Manager für 2021
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
von Felix Baumann
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
Warum du einen Dark Web Monitor brauchst [Werbung]
von Nicole
Warum du einen Dark Web Monitor brauchst [Werbung]
Related Video
video
WhatsApp: Endlich da – der Dark Mode für alle Smartphones
Software Sicherheit
Ähnliche Artikel
Die besten Alternativen zu Whatsapp
27. Februar 2021
Die besten Alternativen zu Whatsapp
Warum sind Auto-Abos nicht beliebter?
13. Februar 2021
Warum sind Auto-Abos nicht beliebter?
Slack: Bald kann jeder jedem Direkt-Nachrichten schicken
8. Oktober 2020
Slack: Bald kann jeder jedem Direkt-Nachrichten schicken
Die besten Apps für euer iPhone und iPad (Oktober 2020)
1. Oktober 2020
Die besten Apps für euer iPhone und iPad (Oktober 2020)
Neueste Tests
8.5
Das Xiaomi Mi Note 10 ist ein Top-Smartphone und ist ein guter Begleiter durch den Tag. Es kann mit ...
Ein Tag im Leben mit dem Xiaomi Mi Note 10 – Penta-Kamera und 108 MP
4. Februar 2020
Ein Tag im Leben mit dem Xiaomi Mi Note 10 – Penta-Kamera und 108 MP
8.1
Aber gut. Eine Sache gibt es, wo ich zumindest über einiges hinwegsehen kann und das ist der Preis. ...
Ein Tag im Leben mit dem Google Pixel 4 – Gut, aber nicht perfekt
13. November 2019
Ein Tag im Leben mit dem Google Pixel 4 – Gut, aber nicht perfekt
1.0
Der Preis ist ein Schnäppchen, keine Frage. Wenn aber die Software Probleme macht und der Support si ...
hubiC im Test: Cloud-Speicher aus Europa zum Schnäppchenpreis *Update*
22. Februar 2017
hubiC im Test: Cloud-Speicher aus Europa zum Schnäppchenpreis *Update*
7.9
YouTV im ausführlichen Test
15. April 2016
YouTV im ausführlichen Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
Warum sind Auto-Abos nicht beliebter?
von Nicole
Warum sind Auto-Abos nicht beliebter?
Die besten Passwort-Manager für 2021
von Michael Sprick
Die besten Passwort-Manager für 2021
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
von Felix Baumann
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
Warum du einen Dark Web Monitor brauchst [Werbung]
von Nicole
Warum du einen Dark Web Monitor brauchst [Werbung]
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten