Datenschutz-Schwachstelle in Telegram

Datenschutz-Schwachstelle im Telegram – APP
https://telegram.org/

Ich habe mal etwas getüftelt und eine Datenschutz-Schwachstelle in der Telegram APP entdeckt, die es einem Telegram-Benutzer (der Angreifer) erlaubt, unter bestimmten Bedingungen, Namen und Telefonnummern anderer Telegram-Nutzer auszulesen (Die Opfer).
Somit kommt man an viele andere Namen und Telefonnummern anderer Telegram Benutzer ran, samit ihren Avatars.

Voraussetzung für den “Angriff”:

Die Möglichkeit an die Einträge der Opfer ranzukommen ist dann gegeben, wenn:
A) Der Angreifer die Mobilfunknummer des Opfers kennt und ggf. mit ihm bereits ein Chat hatte
B) Das Opfer mit anderen Telegram-Teilnehmern bereits eine Telegram Konversation hatte, die dann vom Angreifer samt Name und Nummer wie es beim Opfer gespeichert wurde, abgegriffen werden
C) Der Angreifer das gleiche Handymodell sowie die gleiche Baseband (vereinfacht: gleiches OS-Image+Gerät)) wie das Opfer besitzt

Der Fehler:

Der Fehler(Nach meinen ersten Einschätzungen):
Telegram erlaubt es einem Benutzer auf beliebigen Geräten eine Sitzung zu eröffnen und somit in der Lage zu sein, eine Identität auf mehreren Geräten zu haben. Das hat den Vorteil, dass man mit einer einzigen Telefonnummer auf X beliebigen Geräten mit den gleichen Gesprächspartnern kommunizieren kann (z.B. Smartphone, tablet, Laptop mit UMTS etc.)

Damit Telegram sich jedoch mit einem Gerät nach einer ersten PIN Verfifikation fest verdrahten kann, benötigt es eindeutige Merkmale des Gerätes. Bei Whatsapp wird z.B. eine Kombination aus Telefonnummer und IMEI genutzt (grob erklärt). Jedoch die Sitzungsgeräte nicht immer eine Handy-spezifische IMEI haben, werden Merkmale wie OS-Image/Baseband-Version/Gerätetyp als eindeutiges Merkmal genutzt. Jeder Benutzer kann dann in den Einstellungen von telegram unter Privatsphäre/Sicherheit einsehen, mit welchen Geräten seine Identität bereits eine Sitzung aufgebaut hat. Sind jedoch die Geräte des Opfers und des Angreifers absolut identisch und kennen sich Opfer und Angreifer im Telefonbuch, pusht Telegram die Kontakte der bereits getätigten Chat Sitzungen des Opfers automatisch nach Installation in das Telefonbuch des Angreifers. Somit kommt er an Kontakte seines Opfers ran, die er garnicht kennen sollte!

Ist also OS-Image/Baseband-Version/Gerät gleich, versucht Telegram nicht nur die neue Nummer des Angreifers in die Telefonbücher seiner Kontakte zu pushen die ebenfalls Telegram nutzen, sondern auch auf dem umgekehrten Weg die Kontakte aus anderen Telefonbüchern der Opfer mit dem gleichen Gerät aus bereits vorhandenen Chat Sitzungen.

Dieses Problem wird insbesondere dadurch begünstigt, da die Smartphone Hersteller ihre Geräte sozusagen am Fliessband herstellen und die Geräte bis auf wenige Merkmale in ihrer Hardware und Software ab Werk absolut identisch sind. Unterschiedliche Merkmale in der Software kommen dann z.B. durch Updates/Modellpflege der Hersteller zu stande.

Also Jungs, wenn ihr mal eure Freundinnen ausspionieren wollt, kauft euch zusammen am gleichen Tag im gleichen Markt die gleichen Handys und animiert sie dazu Telegram zu nutzen haha
Meine Testgeräte waren zwei KAZAM Trooper 2 50 Smartphones, gekauft August 2015 in Abstand von ca. 2 Wochen im gleichen Markt.

Getestete Versionen:

Telegram for Android Client Version: 3.2.6 und 3.3.1

Android 4.2.2, Kernel 3.4.5 KAZAM@android115#1

  • Related Posts

    • Archiv
    • Dezember 22, 2017
    • 0 views
    Das Bankengeheimnis der Big 6 – Nicht alle bleiben geheim

    Ausländer (also jene, die einen ständigen Wohnsitz ausserhalb der Schweiz haben) mit Konten in der Schweiz werden ab 2017 von dem sogenannten automatischen Informationsaustausch (AIA) erfasst. Dagegen werden Schweizer mit…

    • Archiv
    • Dezember 21, 2017
    • 0 views
    LINK Institut will mich befragen – WTF?

    Heute Abend habe ich aus heiterem Himmel eine SMS erhalten, von einer Service Nummer 5465 unter dem Namen “LINK”. WER IST LINK???? Eine Zwangs-Abo-Masche? Dazu noch auf meine Nummer, die…

    You Missed

    Wenn Desaster zu Chancen werden

    • Oktober 10, 2024
    • 10 views
    Wenn Desaster zu Chancen werden

    Hol deine Hände aus der Tasche, mein Freund

    • Oktober 8, 2024
    • 6 views
    Hol deine Hände aus der Tasche, mein Freund

    Die digitale Papierbürokratie der Gemeinden

    • Oktober 5, 2024
    • 7 views
    Die digitale Papierbürokratie der Gemeinden

    Die CSS enjoy365 App – Teil 1: “Das Chaos mit dem Datenschutz”

    • Oktober 4, 2024
    • 1 views
    Die CSS enjoy365 App – Teil 1: “Das Chaos mit dem Datenschutz”

    Wir verstehen schneller als wir sprechen

    • Oktober 2, 2024
    • 2 views
    Wir verstehen schneller als wir sprechen

    Die grosse Lay-Off Welle hat längst begonnen

    • Oktober 2, 2024
    • 2 views
    Die grosse Lay-Off Welle hat längst begonnen