Telegram-Bots lassen sich anzapfen

Die Sicherheitsforscher von Forcepoint warnen vor möglichen Privatsphären-Problemen bei der Nutzung von Telegram-Bots. Über diese können unter Umständen Außenstehende an die komplette Kommunikation geschlossener Gruppen gelangen. Die Forscher nutzten diese Schwachstellen aus, um ein Botnetz aus infizierten Rechnern auszuheben.

In Telegram-Gruppen stellen Bots häufig nützliche Dienstleistungen bereit. So nutzen sie etwa Pokemon-Go-Spieler gerne, um passende Termine für gemeinsame Raids innerhalb des Spiels zu ermitteln. Die Bots sind dabei Skripte, die auf einem PC laufen und sich beim Telegram-Bot-API anmelden. Dieses API erlaubt es unter anderem, alle Meldungen abzurufen, die der Bot jemals zu sehen bekommen hat – also insbesondere die gesamte Chat-Historie der Gruppen, in denen er Mitglied ist. Alles, was ein Außenstehender benötigt, um an diese unter Umständen vertraulichen Informationen zu kommen, ist die zufällige Chat-ID der Gruppe und das API-Token des Bots.

Botnetz ausgehoben

Die Forscher waren auf ein Botnetz gestoßen, bei dem eine Telegram-Gruppe als Command-&-Control-Kanal (C2) diente. Infizierte Rechner meldeten sich in dieser Gruppe mit ihrer IP-Adresse und Zugangsdaten für frisch eingerichtete Administrator-Konten, die über RDP erreichbar waren (Wer sich schon länger mit Security beschäftigt, erinnert sich vielleicht an die früher dafür üblichen IRC-Channel). Der Bot übernahm für die Kriminellen dann die Verwaltungsarbeit.

Die Forcepoint-Experten analysierten einen infizierten Client und extrahierten die benötigten Zugangsdaten, mit denen sie den Zugang zum Telegram-Bot-API herstellen konnten. Das besondere daran ist es, dass sie auf diesem Weg auch in die Vergangenheit der C2-Gruppe schauen und somit alle infizierten Systeme aufspüren konnten. Es handelte sich offenbar um ein vergleichsweise kleines Botnetz mit lediglich etwa 120 infizierten Systemen. Die eingesetzte Malware taufte Forcepoint auf den Namen GoodSender.

Verschlüsselung

Auch Außenstehende könnten im Prinzip Zugang zu Chat-IDs und API Tokens erlangen und damit Gruppen ausspionieren oder dort etwa im Namen der Bots gefälschte Nachrichten oder sogar Malware verschicken, wie die Forcepoint-Forscher erklären. Dazu müssten sie jedoch die Transportverschlüsselung TLS der Kommunikation des Bots aufbrechen – etwa indem sie sich in die Position eines Man-in-the-Middle bringen. Die Telegram-eigene Verschlüsselung schützt diese Daten nicht.

Darüber hinaus haben auch die Betreiber der Telegram-Server vollen Zugriff auf die Inhalte der Kommunikation. Denn anders als bei WhatsApp unterstützt Telegram für Gruppen-Chats keine Ende-zu-Ende-Verschlüsselung. Diese wünschenswerte Schutzfunktion ist bei Telegram nur sehr rudimentär implementiert: Nur zwei gleichzeitig online befindliche Nutzer können einen "geheimen Chat" starten, dessen Inhalt die Telegram-Server nicht mitlesen. Bei WhatsApp hingegen sind alle zwischen den Nutzern ausgetauschten Inhalte so verschlüsselt, dass sie nur der Absender und die vorgesehenen Empfänger lesen können. Dritte und auch WhatsApp selbst haben keinen Zugriff darauf. (ju)