Een paar dagen nadat The Grugq waarschuwde over een beveilingsprobleem van Telegram Messenger, is de berichtenapp opnieuw in het nieuws. Volgens beveiligingsonderzoeker Ola Flisbäck wordt metadata van gebruikers verzonden naar al hun contacten. Met commandoregeltools is deze metadata in te zien, waaruit de online status van een gebruiker is af te lezen.
De Telegram-app voor Android stuurt een seintje naar alle contacten, wanneer Telegram op de voorgrond wordt gebruikt. Hetzelfde gebeurt wanneer een gebruiker de app weer afsluit. Telegram reageerde op de beschuldigingen door te zeggen dat je je online statusmeldingen kunt aan- en uitzetten. Maar daarmee heb je nog geen controle over de metadata die wordt verzonden.
Om de activiteit te achterhalen is alleen een telefoonnummer en wat technische handigheid nodig. Telegram weet alle telefoonnummers van gebruikers, omdat je die moet invoeren om de app te kunnen registreren op jouw toestel.
In de metadata is te zien wanneer mensen de Telegram-app openen en sluiten. Doen twee mensen dit op ongeveer hetzelfde moment, dan is hieruit af te leiden dat ze een gesprek voeren. Telegram weet namelijk ook al hoe jouw vriendennetwerk eruit ziet. De eerder genoemde The Grugq schrijft:
When registering an account with Telegram, the app helpfully uploads the entire Contacts database to Telegram’s servers (optional on iOS). This allows Telegram to build a huge social network map of all the users and how they know each other. It is extremely difficult to remain anonymous while using Telegram because the social network of everyone you communicate with is known to them (and whomever has pwned their servers).
Flisbäck merkt op dat de gelekte metadata handig kan zijn voor stalkers: het enige wat je nodig hebt is namelijk het telefoonnummer van het doelwit. Voeg je het telefoonnummer toe aan je contacten, dan kun je ook de metadata van die telefoon achterhalen. Als twee personen vervolgens om beurten online gaan om Telegram te gebruiken, weet je dat ze met elkaar in gesprek zijn.
Helaas kun je als Telegram-gebruiker niet blokkeren dat jouw metadata over aan- en afmeldgedrag naar de servers van het bedrijf worden gestuurd. Wel kun je (tenminste op iOS) voorkomen dat de dienst je adresboek uploadt naar de servers van Telegram.
Ondanks deze nieuwe ontwikkelingen is de encryptie van Telegram niet publiekelijk gebroken. In een hackers-wedstrijd lukte het enkele vooraanstaande cryptografie-exports niet om de encryptie van Telegram te doorbreken en met het prijzengeld van $300.000 aan de haal te gaan. Toch weet de app meer van je, dan je denkt.
Telegram biedt versleutelde chats aan en is over het algemeen veiliger dan WhatsApp. De metadata is gelukkig onzichtbaar voor gewone Telegram-gebruikers, maar zou wel gemakkelijk te achterhalen kunnen zijn door geheime diensten.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 17 reacties