Forscher kritisieren Sicherheit der neuen Telegram-App

Die Messaging-App Telegram, welche Ende-zu-Ende-Verschlüsselung unterstützt, hat sein erstes Krypto-freundliches Feature veröffentlicht, nachdem im Rahmen eines ICOs 1,7 Milliarden US-Dollar eingefahren werden konnten. Das Feature ermöglicht die Verschlüsselung persönlicher ID-Informationen der Nutzer. Zudem können Benutzer ihre ID-Daten sicher an Dritte weitergeben.

Das neue Tool ist mit dem digitalen Bezahlsystem ePayments verknüpft. Telegram bezeichnet dieses als erstes elektronisches Zahlungssystem, das die Registrierung und Verifizierung unterstützt. Vor allem für Menschen, welche in einem unterdrückenden Regime leben, ist dies praktisch, da diese über die Messaging-App kinderleicht und sicher Geld verschicken können. Unter anderem ist diese Funktion für Menschen aus dem Iran oder aus Usbekistan interessant, wo aufgrund Sanktionen und Finanzreformen bis jetzt kein internationales Finanzsystem etabliert ist.

Die Sicherheit von Passport fällt in mehrfacher Hinsicht enttäuschend aus

Doch Sicherheitsforscher sind skeptisch: Virgil Security, ein US-amerikanisches Start-up, welche Sicherheits-Tools herstellt, identifizierte mehrere Schwachstellen in der neuen Identitätsüberprüfungs-App „Passport“. Telegram wurde zwar dafür gelobt, die API der Anwendung als Open Source veröffentlicht zu haben, jedoch kamen Fragen und Ungereimtheiten bezüglich der Datenverschlüsselung und dem Schutz der gespeicherten Daten auf.

Durch die Veröffentlichung der API haben Sicherheitsexperten die Möglichkeit, die Implementierung zu überprüfen und im Idealfall dabei zu helfen, sie zu verbessern, meint Alexey Ermishkin von Virgil Security, der auf dem Unternehmensblog schreibt. Er stellt fest, dass die Sicherheit von Passport in mehrfacher Hinsicht enttäuschend ausfällt.

Das Unternehmen Telegram, welches vor allem für seine Chat-App bekannt ist, plant, Blockchain-basierte Zahlungen in die Telegram-Chat-App zu implementieren. Telegram schreibt, dass Identitätsdokumente und persönliche Daten in der Telegram-Cloud mit einer Ende-zu-Ende-Verschlüsselung gespeichert werden. Diese ist mit einem Passwort verschlüsselt, das nur der jeweilige Nutzer kennt. Telegram hat folglich keinen Zugriff zu den Daten die der User in seinem Telegram-Pass speichert.

Die Art und Weise der Passwortverschlüsselung steht in der Kritik

Außerdem verspricht Telegram, dass diese Daten dezentral gespeichert werden. Die Identitätswahrung ist eine der Komponenten des ambitionierten Blockchain-basierten Systems, welche Telegram in seinem technischen White Paper versprach. Doch den Erkenntnissen Virgil Security zufolge, erfüllt Telegram nicht alle seine Ziele. Hauptsächlich steht die Art und Weise der Passwortverschlüsselung in der Kritik.

Den Informationen nach, die Telegram über die Funktionsweise des Systems veröffentlicht hat, nutzt Telegram SHA-512 um Passwörter zu hashen. Schätzungen zufolge könnten diese Passwörter ohne weiteres für 135 USD bis 5 USD geknackt werden – abhängig von der Stärke des Passworts, welches die Nutzer wählen. Virgil meint, dass ein Angreifer zuerst Telegram durchbrechen müsste, um einen Angriff vorzunehmen. Um auf die Passwort-Hashes zuzugreifen, müsste der Angriff also innerhalb von Telegram stattfinden. Hierfür gäbe es offenbar zahlreiche Möglichkeiten, wie Dmitry Dain, der Mitbegründer von Virgil Security offenbart. Indem viele Benutzer ihre Daten in Telegrams Passport hochladen, wird das Unternehmen zu einem attraktiven Ziel für Hacker.

Die Gefahr besteht darin, dass Daten in Passport unsigniert hochgeladen werden

Telegram wurde lange Zeit dafür kritisiert, eigene Ansätze in der Kryptographie zu verfolgen, anstatt sich auf bewährte Standards zu verlassen. Die Gefahr besteht laut Virgil Security darin, dass die Daten in Passport unsigniert hochgeladen werden. Durch kryptographisches Signieren von Daten, welches einen wesentlichen Bestandteil der Blockchain-Struktur darstellt, haben Nutzer die Möglichkeit zu überprüfen, ob die Daten von der Person hochgeladen wurden, die von sich behauptet, diese hochgeladen zu haben und ob diese geändert wurden. Ohne solch eine kryptografische Signatur können Angreifer einen Teil der Daten ändern, ohne dass dies jemand bemerken würde.

Virgil Security betont, dass die Leute, sobald sie von einer Ende-zu-Ende-Verschlüsselung hören, glauben, dass ihre Daten gesichert an dritte Parteien gesendet werden, ohne dass sie entschlüsselt oder manipuliert werden. Doch die Passwort-Nutzer werden hier im falschen Glauben gelassen.