Vermeende Telegram-kwetsbaarheid onthult telefoonnummers

Moderne instant messengers spelen een cruciale rol in de samenleving. Dankzij de enorme groei van sociale media en de toename van privacyzorgen, evolueren steeds meer van dergelijke platforms naar end-to-end encryptie, dwingende ondersteuning voor anonimiteit en onderschrijven de vrijheid van meningsuiting.

Vermeende Telegram-kwetsbaarheid onthult telefoonnummers

Telegram: een van de meest populaire IM's

De Russische gebroeders Durov hebben Telegram opgericht, dat nu een begrip is onder mensenrechtenactivisten over de hele wereld. Natuurlijk kun je je eigen wietkanaal opzetten door gebruik te maken van de uitgebreide privacygerichte functies, maar laten we dat even terzijde houden.

Telegram heeft het telefoonnummer van de gebruikers nodig om hun accounts aan te maken en (optioneel) te verifiëren. Het kan mogelijk zijn om het telefoonnummer van uw accountgegevens te verbergen, maar er is een addertje onder het gras!

V: Wie kan mijn telefoonnummer zien?

Op Telegram kunt u berichten verzenden in privéchats en groepen zonder uw telefoonnummer zichtbaar te maken. Uw nummer is standaard alleen zichtbaar voor mensen die u als contacten aan uw adresboek hebt toegevoegd. U kunt dit verder wijzigen in Instellingen > Privacy en beveiliging > Telefoonnummer.

Houd er rekening mee dat mensen uw nummer altijd zullen zien als ze het al kennen en in hun adresboek hebben opgeslagen.

Vermeende Telegram-kwetsbaarheid onthult telefoonnummers

Blijkbaar kan dit ontwerp worden gebruikt om de privacymuur van Telegram-eigenaren te omzeilen, vooral in gevoelige scenario's. Een frauduleuze gebruiker kan een aantal opeenvolgende nummers toevoegen aan het telefoonboek. Daarna kunnen ze het verbinden met een openbaar kanaal en de contactgegevens synchroniseren.

Denk dat je al kunt speculeren over de uitkomst. Telegram geeft de aanvaller na synchronisatie alle contactgegevens van die entiteiten waarvan het nummer in die lijst staat. In het geval dat de malafide een wetshandhavingsinstantie is, is het vinden van de persoon achter dat nummer een kinderspel.

Een ontwerpfout in Telegram kan worden misbruikt om persoonlijk identificeerbare informatie via telefoonnummers bloot te leggen. De bug is ontdekt door demonstranten in Hong Kong.

De ergste nachtmerrie! (Bron)

De demonstranten van de anti-uitleveringswet in Hong Kong zijn grotendeels afhankelijk van Telegram vanwege de voordelen zoals enorme schaalbaarheid Supergroepen en de privacyfactoren. De bug werd voor het eerst ontdekt in LIHKG, een populaire online forumbestemming voor inwoners van Hong Kong.

Telegram Vermeende Telegram-kwetsbaarheid onthult telefoonnummers

Onafhankelijke beveiligingsonderzoekers hebben ook de aanvalsvector bevestigd en er is geen gemakkelijke manier om deze te patchen zonder de achtergrondlogica van de IM zelf. In het geval van demonstranten in Hong Kong, wordt hen geadviseerd om brander-simkaarten te gebruiken, omdat overstappen naar een ander platform niet haalbaar is.

1. Alice, een Telegram-gebruiker, zit in een openbare groep met de naam CommonsGroup

2. Alice wil niet dat iemand haar telefoonnummer in Telegram ziet. Dus verbergt ze haar telefoonnummer in de privacy-instellingen van Telegram. (Privacy > Telefoonnummer > Niemand)

3. Mallory, de aanvaller, wil de echte identiteit van leden in CommonsGroup achterhalen.

4. Mallory voegt een groot aantal telefoonnummers achtereenvolgens toe aan het adresboek op haar telefoon, ervan uitgaande dat het telefoonnummer van Alice in de lijst staat. (we hebben getest met het toevoegen van 10.000 telefoonnummers)

5. Mallory synchroniseert haar contacten met Telegram

6. Mallory sluit zich aan bij CommonsGroup (die openbaar is)

verwacht resultaat

Het telefoonnummer van Alice zal nooit worden weergegeven in de Telegram-groepsinfo omdat ze de privacy van het telefoonnummer heeft ingesteld op Niemand.

Werkelijke resultaat

Mallory kan het telefoonnummer van Alice zien in Groepsinfo. In theorie, als Mallory genoeg telefoonnummers toevoegt, kan ze het telefoonnummer van alle leden in openbare groepen achterhalen. Het is een reële bedreiging voor ons omdat de ruimte voor telefoonnummers in Hong Kong beperkt is

Op dit moment wil Telegram de situatie niet als 'bug' noemen, omdat hun officiële FAQ de beperking van de functie voor het verbergen van telefoonnummers uitlegt.

Vermeende Telegram-kwetsbaarheid onthult telefoonnummers

Een paar maanden geleden leed Telegram aan een door de staat gesponsorde DDoS-aanval. Er zou een sterke correlatie zijn tussen die aanval en het protest in Hong Kong. De situatie is deze keer veel chaotischer, omdat het leven van de demonstranten in gevaar kan komen.

Facebook Twitter Google Plus Pinterest