[Weitergeleitet von Telegram Designers]
Wir laden alle 30 Gewinner des Designwettbewerbs ein, an der zweiten Stufe des Wettbewerbs teilzunehmen – der Gestaltung der Hauptbildschirme einer nativen Telegram-App für Windows 11.
Erneut gab es bei Telegram ein interessantes Update
Das 12. Update von Telegram in diesem Jahr führt Reaktionen, Übersetzungen von Nachrichten, farbliche QR-Codes, versteckten Text (Spoiler) und mehr ein.
Sicherheitslücken von der ETH Zürich gefunden, und von Telegram im Juli 2021 behoben
Wie in diesem Forschungsbereich üblich, informierte das Team die Telegram-Entwickler 90 Tage vor der Veröffentlichung über ihre Ergebnisse und gab dem Unternehmen ausreichend Zeit, um die identifizierten Probleme anzugehen. Inzwischen hat Telegram auf die Ergebnisse reagiert und die von den Forschern gefundenen Sicherheitslücken mit Software-Updates behoben.
Nun zu den gefunden Problemen bei einer Analyse von Telegram der Reihe nach.
Vier kryptografische Schwachstellen in Telegram
Ein internationales Forschungsteam von Kryptografen führte eine detaillierte Sicherheitsanalyse der beliebten Messaging-Plattform Telegram durch und identifizierte mehrere Schwachstellen in ihrem Protokoll, die zeigen, dass das Produkt einige wesentliche Datensicherheitsgarantien nicht erfüllt.
Ausschließlich mit Open-Source-Code arbeitend und ohne eines der laufenden Systeme von Telegram zu „angreifen“, führte ein kleines Team internationaler Forscher eine detaillierte Analyse der Verschlüsselungsdienste des Unternehmens durch. Wissenschaftler der ETH Zürich und Royal Holloway, University of London, deckten mehrere Schwachstellen des kryptografischen Protokolls auf der beliebten Messaging-Plattform auf.
Für die meisten seiner 570 Millionen Benutzer ist das unmittelbare Risiko gering, aber die Schwachstellen zeigen, dass das proprietäre System von Telegram die Sicherheitsgarantien anderer weit verbreiteter kryptografischer Protokolle wie Transport Layer Security (TLS) nicht erfüllt. Kenny Paterson, ETH-Professor, weist darauf hin, dass die Analyse vier Schlüsselprobleme aufdeckte, die „… mit einem Standardansatz für Kryptographie besser, sicherer und vertrauenswürdiger gemacht werden könnten.“
Die Forscher stellten fest, dass die größten Schwachstellen mit der Fähigkeit eines Angreifers im Netzwerk zusammenhängen, die Abfolge von Nachrichten zu manipulieren, die von einem Client an einen der Cloud-Server, die Telegram weltweit betreibt, gesendet werden. Stellen Sie sich den möglichen Schaden vor, der durch das Vertauschen der Nachrichtenfolge entstehen könnte. Wenn beispielsweise die Reihenfolge der Nachrichten in der Reihenfolge „Ich sage ‚Ja‘ zu“, „Pizza“, „Ich sage ‚Nein‘ zu“, „Kriminalität“ geändert wurde, scheint es, dass der Klient seine Bereitschaft erklärt ein Verbrechen begehen.
Diese Sicherheitsanfälligkeit ist hauptsächlich von theoretischem Interesse und ermöglicht es einem Angreifer im Netzwerk, zu erkennen, welche von zwei Nachrichten von einem Client oder einem Server verschlüsselt wurden. Kryptografische Protokolle sollen selbst solche Angriffe ausschließen.
Die Forscher untersuchten die Implementierung von Telegram-Clients und fanden heraus, dass drei - Android, iOS und Desktop - Code enthielten, der es Angreifern im Prinzip ermöglichte, Klartext aus verschlüsselten Nachrichten wiederherzustellen. Obwohl dies alarmierend erscheint, müsste ein Angreifer Millionen sorgfältig erstellter Nachrichten an ein Ziel senden und winzige Unterschiede bei der Zustellung der Antwort beobachten. Wenn diese Art von Angriff jedoch erfolgreich wäre, wäre dies verheerend für die Vertraulichkeit von Telegram-Nachrichten und natürlich für ihre Benutzer. Glücklicherweise ist dieser Angriff in der Praxis fast unmöglich. Aber bevor Sie erleichtert aufatmen
Die Forscher zeigen auch, wie ein Angreifer einen Angriff vom Typ "Angreifer in der Mitte" auf die anfängliche Schlüsselaushandlung zwischen dem Client und dem Server starten kann. Auf diese Weise kann ein Angreifer die Identität des Servers für einen Client vortäuschen, wodurch er sowohl die Vertraulichkeit als auch die Integrität der Kommunikation brechen kann. Glücklicherweise ist auch dieser Angriff ziemlich schwer durchzuführen, da der Angreifer innerhalb von Minuten Milliarden von Nachrichten an einen Telegram-Server senden muss. Dieser Angriff unterstreicht jedoch, dass Benutzer zwar den Servern von Telegram vertrauen müssen, die Sicherheit der Server von Telegram und ihrer Implementierungen jedoch nicht selbstverständlich ist.
Wie in diesem Forschungsbereich üblich, informierte das Team die Telegram-Entwickler 90 Tage vor der Veröffentlichung über ihre Ergebnisse und gab dem Unternehmen ausreichend Zeit, um die identifizierten Probleme anzugehen. Inzwischen hat Telegram auf die Ergebnisse reagiert und die von den Forschern gefundenen Sicherheitslücken mit Software-Updates behoben.
Kryptografische Protokolle basieren auf Bausteinen wie Hash-Funktionen, Blockchiffren und Public-Key-Verschlüsselung. Der Industriestandardansatz besteht darin, diese so zusammenzustellen, dass formale Garantien gegeben werden können, dass, wenn die Bausteine sicher sind, auch das erstellte Protokoll sicher ist. Telegram fehlte eine solche formale Zusicherung. Hier bietet das Forschungsteam Telegram einen Silberstreifen: Sie zeigen, wie man solche Zusicherungen mit nur geringfügigen Änderungen am Protokoll von Telegram erreichen kann. Ein Protokoll ist jedoch nur so sicher wie seine Bausteine und das Protokoll von Telegram stellt ungewöhnlich hohe Sicherheitsanforderungen an diese Bausteine. Das Forscherteam beschreibt dies als eine Analogie zum Herunterfahren der Autobahn in einem Auto mit ungetesteten Bremsen.
Warum also graben sich akademische Forscher in den Open-Source-Code der Privatwirtschaft ein? Kenny Paterson sagt: „Der Hauptgrund ist, dass wir stärkere und sicherere Systeme bauen wollen, die die Benutzer schützen. Da sich die Technologiebranche manchmal schneller entwickelt als die akademische Welt, bieten Technologieunternehmen den Studenten die Möglichkeit, an realen Herausforderungen zu arbeiten und sie möglicherweise zu lösen, um einen wirkungsvollen Beitrag für die Gesellschaft zu leisten.“
Royal Holloway-Professor Martin Albrecht fügte hinzu: „In diesem Fall wurde unsere Arbeit durch andere Forschungen motiviert, die den Einsatz von Technologie durch Teilnehmer an groß angelegten Protesten, wie sie 2019 / 2020 in Hongkong beobachtet wurden, untersuchen. Wir fanden heraus, dass sich Demonstranten kritisch auf Telegram verließen, um ihre Aktivitäten zu koordinieren, dass Telegram jedoch keine Sicherheitsüberprüfung von Kryptografen erhalten hatte.“
https://ethz.ch/en/news-and-events/eth-news/news/2021/07/four-cryptographic-vulnerabilities-in-telegram.html
Das Forschungsteam für Informationssicherheit bestand aus:
Professor Kenny Paterson und Dr. Igors Stepanovs, Gruppe Angewandte Kryptographie der ETH Zürich .
Professor Martin Albrecht und Doktorandin, Lenka Mareková, Cryptography Group , Royal Holloway, University of London.
Was kannst Du für Deine Sicherheit selber tun?
Um Telegram vor neugierigen Blicken oder gar für Euch selber vor der Trennung von den Servern von Telegram wirkungsvoll zu schützen empfehlen wir einen VPN Tunnel. Besonders wenn ihr eine Destop Variante benutzt. Es verbirgt was ihr seht und schreibt, ob über Telegram, oder über den Browser vor Papa Staat oder anderen.
Hier ein Link-Info von NordVPN :
Klare und harte Worte von Pavel Durov zu Fragen der Sicherheit, der Protokolle und backdoors bei anderen Messenger
Übersetzung: en-de
Ein aktueller Bericht hat bewiesen, dass Telegram sein Versprechen hält, seine Benutzerdaten privat zu halten, während Apps wie WhatsApp Echtzeit-Benutzerdaten an Dritte weitergeben und trotz ihrer zahlreichen Behauptungen zur "E2E-Verschlüsselung" auch Nachrichteninhalte preisgeben können.
Der Bericht hat bestätigt, dass Telegram eine der wenigen Messaging-Apps ist, die das Vertrauen ihrer Benutzer nicht verletzt.
Ich bin nicht überrascht. Die meisten anderen Apps könnten ihren Benutzern die Privatsphäre nicht garantieren, selbst wenn sie es wollten. Da ihre Ingenieure in den USA ansässig sind, müssen sie auf Befehl der US-Regierung heimlich Hintertüren in ihre Apps einbauen. Wenn ein Ingenieur öffentlich darüber spricht, kann er wegen Verstoßes gegen einen Knebelbefehl ins Gefängnis gehen.
In den meisten Fällen brauchen die Behörden nicht einmal einen Gerichtsbeschluss, um private Informationen aus Messaging-Apps wie WhatsApp zu extrahieren, und in anderen Fällen werden Gerichtsdokumente geheim gehalten. Einige vermeintlich sichere Apps wurden von Anfang an von Regierungsbehörden finanziert (z. B. Anom, Signal).
Seit vielen Jahren stellt die National Security Agency (NSA) sicher, dass die internationalen Verschlüsselungsstandards dem entsprechen, was die NSA entziffern kann, und alle anderen Verschlüsselungsansätze werden als "nicht standardisiert" oder "selbstgemacht" bezeichnet. Durch ihre Stellvertreter in der Verschlüsselungsindustrie (wie diese) hat die NSA der Verschlüsselung, die vom Rest der Welt verwendet wird, fehlerhafte Standards auferlegt und alle anderen davor gewarnt, "ihre eigene Verschlüsselung einzuführen".
Kein Wunder, dass US-basierte Apps wie WhatsApp von Hintertüren geplagt werden – absichtlich angelegte Sicherheitslücken, die Regierungen (und alle anderen) nutzen können, um Smartphones zu hacken und private Daten von Menschen zu extrahieren. Ich habe gehört, dass unsere Konkurrenten in den USA frustriert sind, dass sie trotz hoher Marketinginvestitionen (etwas, in das Telegram noch nie investieren musste) nicht mit dem Wachstum von Telegram mithalten können. Um jedoch mit unserem Wachstum mithalten zu können, müssen sie zunächst sicherstellen, dass ihre Handlungen ihren Marketingansprüchen entsprechen. Bis dahin bleiben Datenpannen und Sicherheitsprobleme in ihren Apps leider unvermeidlich.
Hier der Originaltext aus dem Kanal von Durov vom 28.12.2021 ---> https://t.me/durov/176
A recent report (https://therecord.media/fbi-document-shows-what-data-can-be-obtained-from-encrypted-messaging-apps/) has proven that Telegram sticks to its promise of keeping its user data private, while apps like WhatsApp give real-time user data (https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-facebook-apple-fbi-privacy-1261816/) to third parties, and despite their numerous claims about "E2E encryption", can also disclose message contents.
The report has confirmed that Telegram is one of the few messaging apps that doesn't breach their users’ trust (https://therecord.media/fbi-document-shows-what-data-can-be-obtained-from-encrypted-messaging-apps/).
I am not surprised. Most other apps couldn't guarantee privacy to their users even if they wanted to. Because their engineers reside in the US, they have to secretly implement backdoors in their apps when the US government orders them to. If an engineer speaks publicly about it, then can go to jail for breaching a gag order (https://en.wikipedia.org/wiki/Gag_order).
In most cases the agencies don't even need a court order (https://en.wikipedia.org/wiki/National_security_letter) to extract private information from messaging apps such as WhatsApp, and in other cases, court documents are shrouded in secrecy (https://knightcolumbia.org/blog/what-is-americas-spy-court-hiding-from-the-public-1). Some supposedly secure apps have been funded by government agencies from their inception (e.g Anom (https://www.inputmag.com/tech/encrypted-messaging-app-anom-used-by-criminals-was-a-secret-fbi-honeypot), Signal (https://yasha.substack.com/p/signal-is-a-government-op-85e)).
For many years the National Security Agency (NSA) has been making sure that international encryption standards are in line with what the NSA can decipher (https://www.theatlantic.com/technology/archive/2013/09/how-nsa-made-sure-it-can-decrypt-your-online-communication/311404/), and all other approaches to encryption are labeled as "non-standard" or "home-brew". Through their proxies in the encryption industry (like this one (https://www.reuters.com/article/us-usa-security-rsa-idUSBRE9BJ1C220131220)), the NSA imposed flawed standards onto the encryption used by the rest of the world, cautioning everyone else from "rolling out their own encryption".
No wonder US-based apps such as WhatsApp are plagued with backdoors (https://telegra.ph/Why-Using-WhatsApp-Is-Dangerous-01-30-4) – intentionally planted security loopholes that governments (and anybody else (https://t.me/durov/162)) can use to hack smartphones and extract private data from people.
I hear our US-based competitors are frustrated that they can't match Telegram's growth, despite heavily investing in marketing (something Telegram has never had to invest in). But in order to match our growth, they have to first make sure their actions match their marketing claims. Until then, data breaches and security issues in their apps will, unfortunately, remain unavoidable.
Was kannst Du für Deine Sicherheit selber tun?
Um Telegram vor neugierigen Blicken oder gar für Euch selber vor der Trennung von den Servern von Telegram wirkungsvoll zu schützen empfehlen wir einen VPN Tunnel. Besonders wenn ihr eine Destop Variante benutzt. Es verbirgt was ihr seht und schreibt, ob über Telegram, oder über den Browser vor Papa Staat oder anderen.
Hier ein Link-Info von NordVPN :
Unigram ist laut Windows Central als beste soziale App nominiert.
Desktop Varianten von erprobter Smartphone Software wird immer beliebter. Auch Telegram stellt eine offizielle Desktopvariante zur Verfügung. Die ist wirklich praktisch. Aber es geht besser.
Schaut Euch einfach Unigram an. Testweise könnt ihr natürlich auch beide auf einer Maschiene laufen lassen.
Windows Central benennt (https://www.windowscentral.com/best-of-2021) Unigram "besser bei Telegram als Telegram".
Die Unigram-App ist ein Telegram-Client für Windows 10+. Es konkurriert mit Telegram Desktop.
Seit nicht allzu langer Zeit werden die Builds von Unigram von einem offiziellen Zertifikat von Telegram signiert. Das bedeutet, dass Sie Unigram genauso vertrauen können wie offiziellen Apps.
Im Gegensatz zu Telegram Desktop unterstützt Unigram geheime Chats, selbstzerstörende Fotos, Instant View, Multi-Windowed-Ansicht und viele andere Funktionen.
Bei Windows könnt ihr hier runterladen, aber wer da Sicherheitsbedenken hat kann es direkt über Telegram laden
Microsoft Store (https://www.microsoft.com/store/productId/9N97ZCKPD60Q)|
Herunterladen über Telegram (https://t.me/unigramappx)|
freies herunterladen: https://unigramdev.github.io/
Installationshilfe (https://t.me/betainfoen/645)#Unigram
Um Telegram vor neugierigen Blicken oder gar für Euch selber vor der Trennung von den Servern von Telegram wirkungsvoll zu schützen empfehlen wir einen VPN Tunnel. Besonders wenn ihr eine Destop Variante benutzt. Es verbirgt was ihr seht und schreibt, ob über Telegram, oder über den Browser vor Papa Staat oder anderen.
Hier ein Link-Info von NordVPN :