Forscher decken Fehler in Telegrams Verschlüsselung auf
Die selbst entwickelte Verschlüsselung MTProto wies Schwächen auf, über die Angreifer Nachrichten hätten fälschen können. Die Entwickler haben das gefixt.
(Bild: dpa, Sergei Konkov/TASS/dpa)
Forscher der Royal Holloway University of London und der ETH Zürich untersuchten die Verschlüsselung des Messengers Telegrams. Sie fanden dabei vier Probleme, die die Entwickler in aktuellen Versionen gefixt haben. Zumindest eines dieser Probleme ließ sich einfach ausnutzen.
Telegram nutzt ein eigenes, selbst entwickeltes Krypto-Protokoll namens MTProto. Gegenstand der Untersuchung war nur die Verschlüsselung zwischen Client und Server. Dabei übernimmt MTProto eine ähnliche Rolle wie TLS bei herkömmlich gesicherten Verbindungen wie HTTPS. Die optionale Ende-zu-Ende-Verschlüsselung von Telegram schauten sich die Forscher nicht an.
Vertauschte Nachrichten
Der einfachste Bug erlaubte es Angreifern im Netz, die Reihenfolge von Nachrichten zu ändern. Damit sendet etwa ein Telegram-Nutzer mit mehreren Nachrichten den Satz
“I say yes to”, “all the pizzas”, “I say no to”, “all the crimes"
und am anderen Ende empfängt sein Gegenüber
“I say yes to”, “all the crimes”, “I say no to”, “all the pizzas”
mit der exakt umgekehrten Bedeutung. Dieser Angriff sei einfach auszuführen gewesen; das Problem wurde in den Versionen 7.8.1 für Android, 7.8.3 für iOS and 2.8.8 für Telegram Desktop gefixt, erklären die Forscher. Darüber hinaus dokumentierten die Forscher noch drei weitere, weniger akute Schwächen, die sie auf Security Analysis of Telegram (Symmetric Part) genauer beschreiben.
Keine akute Gefahr, aber prinzipielle Schwächen
Die direkte Gefahr, die von diesen Problemen für Telegram ausgehe, schätzen die Forscher als eher gering ein. Allerdings zeige ihre Untersuchung, dass die selbst entwickelten Krypto-Funktionen hinter das Sicherheitsniveau von TLS zurückfalle.
Allgemein ist es im Bereich der Kryptografie zu empfehlen, möglichst auf bekannte und getestete Bausteine zurückzugreifen. Die Forscher sehen durch ihre Arbeit das Mantra "Don't roll your own crypto" zumindest teilweise bestätigt. Die gute Nachricht für Telegram-Fans ist, dass MTProto mit geringen Änderungen eine vergleichbare Robustheit wie TLS erreichen könne.
Darüber hinaus bestätigen die Forscher Kritik, die heise Security bereits in Telegram-Chat: der sichere Datenschutz-Albtraum geäußert hat:
"... we recall that by default communication via Telegram must trust the Telegram servers, i.e. end-to-end encryption is optional and not available for group chats."
Standardmäßig nutzt Telegram keine Ende-zu-Ende-Verschlüsselung und Telegram-Benutzer müssen den Betreibern der Server vertrauen. Als Konsequenz daraus empfehlen die Forscher von Telegram auch nicht als "verschlüsseltem Chat" zu reden, da dies in der Post-Snowden-Ära Ende-zu-Ende-Verschlüsselung bedeute.
(ju)
