Vier kryptographische Schwachstellen in Telegram

Ausschliesslich mit Open-Source-Code und ohne ?Angriff? auf die laufenden Systeme von Telegram analysierte ein kleines Team internationaler Forschender die Verschl¨¹sselungsdienste von Telegram im Detail. Die Forschenden der ETH Z¨¹rich und des Royal Holloway College (Universit?t von London) deckten dabei mehrere kryptografische Schwachstellen im Protokoll der beliebten Messaging-Plattform auf.

Zwar ist die unmittelbare Gefahr f¨¹r den Grossteil ihrer 570 Millionen Nutzer und Nutzerinnen gering, doch die Schwachstellen machen deutlich, dass das System von Telegram den Sicherheitsgarantien anderer, oft genutzter Verschl¨¹sselungsprotokolle wie beispielsweise der Transport Layer Security (TLS) unterlegen ist. Professor Kenny Paterson von der ETH Z¨¹rich weist darauf hin, dass die Analyse vier entscheidende Probleme zutage f?rderte, die ?¡­ mit einer Standardverschl¨¹sselungsmethode besser, sicherer und in vertrauensw¨¹rdigerer Weise? gel?st werden k?nnten.

Erste Schwachstelle: Ein Verbrechen begehen oder Pizza essen?

Die Forschenden stellten fest, dass die massgeblichsten Schwachstellen damit zusammenh?ngen, dass Angreifer im Netzwerk die Abfolge der Nachrichten manipulieren k?nnen, die vom Client an einen der von Telegram weltweit betriebenen Cloud-Server gesendet werden. So k?nnten in einem Chat-Verlauf zum Beispiel Nachrichten vertauscht werden. Wenn also jemand die Reihenfolge der Nachrichten ?Ich sage ¡¯ja¡¯ zu¡°, ?Pizza!¡°, ?Ich sage ¡¯nein, zu¡°, ?Verbrechen¡° ver?ndern kann, k?nnte aus dem ?Ja? zum Pizzaessen pl?tzlich ein ?Ja? zu einem Verbrechen werden.

Zweite Schwachstelle: Jedes bisschen Information ist zu viel

?ber diese Schwachstelle, die eher theoretischer Natur ist, kann ein Netzwerkangreifer herausfinden, welche von zwei Nachrichten von einem Client oder von einem Server verschl¨¹sselt ist. Verschl¨¹sselungsprotokolle sind jedoch so ausgelegt, dass sie auch solche Angriffe ausschliessen.

Dritte Schwachstelle: Die Uhr stellen

Die Forschenden untersuchten die Implementierung von Telegram-Clients und fanden heraus, dass drei davon ¨C n?mlich Android, iOS und Desktop ¨C jeweils Code enthielten, der es Angreifern im Prinzip erlaubt, verschl¨¹sselte Nachrichten teilweise wieder zu entschl¨¹sseln. Auch wenn dies beunruhigend klingt, m¨¹sste ein Angreifer daf¨¹r Millionen sorgf?ltig erstellter Nachrichten an sein Ziel senden und winzigste Unterschiede in der Zustelldauer der Antworten ermitteln. W?re ein so gearteter Angriff jedoch erfolgreich, h?tte dies verheerende Folgen f¨¹r die Vertraulichkeit der Telegram-Nachrichten und nat¨¹rlich f¨¹r deren Nutzerinnen und Nutzer. Zum Gl¨¹ck ist eine solche Attacke in der Praxis beinahe unm?glich. Und trotzdem muss man diese Schwachstelle ernst nehmen. Ein solcher Angriff wird vor allem durch Zufall vereitelt, da Telegram einige Metadaten geheim h?lt und zuf?llig ausw?hlt.

Vierte Schwachstelle: Einer liest mit

Die Forschenden zeigen auch, dass beim anf?nglichen Schl¨¹sselaustausch zwischen Client und Server eine Attacke durchgef¨¹hrt werden kann, indem sich der Angreifer zwischenschaltet. Dabei gibt sich der Angreifer dem Client gegen¨¹ber als Server aus, wodurch er sowohl die Vertraulichkeit als auch die Integrit?t der Kommunikation verletzen kann. Zum Gl¨¹ck ist auch diese Angriffsmethode relativ schwer durchf¨¹hrbar, da der Angreifer dazu in Minuten Milliarden von Nachrichten an einen Telegram-Server schicken m¨¹sste. Diese Attacke f¨¹hrt jedoch vor Augen, dass die Sicherheit der Telegram-Server und ihrer Implementierung keine Selbstverst?ndlichkeit ist, auch wenn f¨¹r Nutzer und Nutzerinnen Verlass auf diese Server sein muss, da standardm?ssig keine End-to-End Verschl¨¹sselung bereitgestellt wird.

Sicherheitsgrundlagen

Wie es in diesem Forschungsbereich gang und g?be ist, informierte das Team die Entwicklerinnen und Entwickler von Telegram 90 Tage vor der Ver?ffentlichung der Ergebnisse. Damit erhielt das Unternehmen ausreichend Zeit zur Behebung der festgestellten M?ngel. Mittlerweile hat Telegram auf die Ergebnisse reagiert und mit Software-Updates die von den Forschenden gefundenen Sicherheitsprobleme behoben.

Verschl¨¹sselungsprotokolle beruhen auf Elementen wie Hash-Funktionen, Blockchiffre und Public-Key-Verschl¨¹sselungsverfahren. In der Branche ist es Standard, diese sicheren Bausteine so zu kombinieren, dass die Sicherheit des daraus konstruierten Protokolls formal garantiert werden kann. Telegram verf¨¹gt ¨¹ber keine solche formale Absicherung. Doch das Forschungsteam hat hier gute Nachrichten f¨¹r Telegram: Es zeigte, wie solche Absicherungen schon durch minimale ?nderungen am Protokoll von Telegram erreicht werden k?nnen. Ein Protokoll ist jedoch nur so sicher wie seine Bausteine, und so wie das das Protokoll von Telegram funktioniert, m¨¹ssen seine Bausteine ausserordentlich hohe Sicherheitsanforderungen erf¨¹llen. Das Forschungsteam zieht hier den Vergleich zur Fahrt¨¹chtigkeit eines Fahrzeugs aber mit ungepr¨¹ften Bremsen.

Wieso nehmen akademische Forschende eigentlich den Open-Source-Code aus der Privatwirtschaft unter die Lupe? Kenny Paterson sagt dazu: ?Das grundlegende Motiv besteht darin, dass wir st?rkere, sicherere Systeme bauen m?chten, die ihre Nutzer und Nutzerinnen sch¨¹tzen. Da sich die Technologiebranche manchmal schneller entwickelt als das akademische Pendant, bieten die Technologieunternehmen den Studierenden eine M?glichkeit, an realen Herausforderungen zu arbeiten, sie vielleicht zu l?sen und damit einen wichtigen gesellschaftlichen Beitrag zu leisten.?

Professor Martin Albrecht (Royal Holloway) f¨¹gt hinzu: ?Die Anregung f¨¹r unsere Arbeit stammt in diesem Fall von anderweitigen Forschungen, die die Technologienutzung unter den Teilnehmenden grosser Protestaktionen, etwa 2019/2020 in Hongkong, untersuchten. Wir fanden heraus, dass die Protestierenden ihre Aktivit?ten vorwiegend auf Telegram koordinierten, aber dass Telegram bisher nicht von  Kryptografen auf Herz und Nieren gepr¨¹ft wurde...?