Was ist eigentlich ein Hack, ein Sicherheitsleck oder ein fundamentales Problem mit der Art und Weise, wie eine App sich aktivieren laesst? All diese Fragen duerften nun auf die Mache der vorgeblich so sicheren Messenger App Telegram zukommen. Und genau dies koennte sich zu einem PR-Desaster entwickeln.
Telegram, mit Sitz in Berlin, gibt an ueber 100 Millionen aktive Nutzer zu haben, wobei der Messenger besonders im mittleren Osten als sehr beliebt gilt. Darunter befinden sich uebrigens auch vermehrt Angehoerige des IS, weshalb Telegram bereits im letzten Jahr Propagandakanaele der Terroristen sperren liess. Schlagzeilen wie “Dschihadisten lieben eine Berliner App“, sind jetzt nicht unbedingt die Marketing-Headlines, die man gerne ueber sein Unternehmen lesen will. Wobei… in einer gewissen Weise ist dies ja auch ein Indiz dafuer, dass Telegram ganz offensichtlich eine Infrastruktur anbietet, die als so sicher erscheint, dass selbst derartige Gruppen sie nutzen.
Wobei verschiedenste Sicherheitsexperten noch vor wenigen Wochen vor den Verschluesselungsmethoden Telegrams warnten, ja ihnen sogar unterstellten, hier auf Forderungen von Regierungen eingegangen zu sein.
Und jetzt kommt der erste ,richtig dicke “Security Breach” und trifft nahezu 3/4 aller Nutzer im Iran. Genau, denn dort nutzen immerhin gut 20 Millionen den Telegram Messenger!
Nach Angaben von Reuters ist es einer iranischen Hacker-Gruppe gelungen ein gutes Dutzend Konten des Messengers zu knacken, was letztendlich dazu fuehrte, dass ueber 15 Millionen Telefonnummern von Telegram Nutzern identifiziert werden konnten. Was aber noch viel schlimmer wiegt… im Iran muessen (seit diesem Sommer) alle Daten von einheimischen Messenger Usern auch im Land gespeichert werden. Man mag sich nun gar nicht vorstellen, wie sich dort einige Oppositionelle fuehlen duerften.
Wie konnte es zum Hack kommen?
Auch wenn die Kommunikation auf Telegram nicht per “default” verschluesselt ist, so geschah dieser Hack auf weitaus profanere Weise. Neue Konten und Devices werden via SMS aktiviert und genau hier konnten die Hacker ansetzen.
When users want to log on to Telegram from a new phone, the company sends them authorization codes via SMS, which can be intercepted by the phone company and shared with the hackers Claudio Guarnieri, Amnesty International
Die Hacker haben also gezielt zusaetzliche Geraete fuer bereits bestehende Konten authorisiert und konnten dadurch saemtliche Nachrichten dieser User mitlesen.
We have over a dozen cases in which Telegram accounts have been compromised, through ways that sound like basically coordination with the cellphone company Collin Anderson, Sicherheitsexperte
Und genau das ist das Problem. Wir erinnern uns noch einmal daran, dass der Iran erst kuerzlich die Rahmenbedingungen fuer Messenger und deren Nutzer extrem “optimiert” hat. Ganz offensichtlich, weil sich die Mullahs ein wenig ausgesperrt fuehlten und mehr Kontrolle ueber die landesweite Kommunikation erlangen wollten.
Wenn nun eine App wie Telegram eine SMS-Authentifizierung nutzt, dann koennen derartige Regime ueber die lokalen Telkos noch viel einfacher solche Hacks durchfuehren bzw. durchfuehren lassen.
Letzteres ist reine Spekulation, denn ob die Gruppe mit dem Namen “Rocket Kitten” wirklich im Auftrag des Staates handelte, das ist nicht bekannt.
Telegram reagiert
Das sind nun alles durchaus erhebliche Vorwuerfe, zumal andere Messenger (z.B. Line) derartige zusaetzliche Authentifizierungen von Geraeten nicht zulassen. Telegram reagierte umgehend:
Some media reported on a “massive” hacker attack on Telegram in Iran.
Here’s what really happened:
Telegram accounts
Certain people checked whether some Iranian numbers were registered on Telegram and were able to confirm this for 15 million accounts. As a result, only publicly available data was collected and the accounts themselves were not accessed. Such mass checks are no longer possible since we introduced some limitations into our API this year.
However, since Telegram is based on phone contacts, any party can potentially check whether a phone number is registered in the system. This is also true for any other contact-based messaging app (WhatsApp, Messenger, etc.).
SMS codes
As for the reports that several accounts were accessed earlier this year by intercepting SMS-verification codes, this is hardly a new threat as we’ve been increasingly warning our users in certain countries about it. Last year we introduced 2-Step Verificationspecifically to defend users in such situations.
If you have reasons to think that your mobile carrier is intercepting your SMS codes, use2-Step Verification to protect your account with a password. If you do that, there’s nothing an attacker can do.
Hoffen wir einfach mal, dass die User im Iran diese Vorgaenge aehnlich locker sehen und wirklich keine Daten abgezogen wurden, die nicht fuer die Oeffentlichkeit bestimmt waren.