Een paar dagen nadat The Grugq waarschuwde over een beveilingsprobleem van Telegram Messenger, is de berichtenapp opnieuw in het nieuws. Volgens beveiligingsonderzoeker Ola Flisbäck wordt metadata van gebruikers verzonden naar al hun contacten. Met commandoregeltools is deze metadata in te zien, waaruit de online status van een gebruiker is af te lezen.
De Telegram-app voor Android stuurt een seintje naar alle contacten, wanneer Telegram op de voorgrond wordt gebruikt. Hetzelfde gebeurt wanneer een gebruiker de app weer afsluit. Telegram reageerde op de beschuldigingen door te zeggen dat je je online statusmeldingen kunt aan- en uitzetten. Maar daarmee heb je nog geen controle over de metadata die wordt verzonden.
Om de activiteit te achterhalen is alleen een telefoonnummer en wat technische handigheid nodig. Telegram weet alle telefoonnummers van gebruikers, omdat je die moet invoeren om de app te kunnen registreren op jouw toestel.
In de metadata is te zien wanneer mensen de Telegram-app openen en sluiten. Doen twee mensen dit op ongeveer hetzelfde moment, dan is hieruit af te leiden dat ze een gesprek voeren. Telegram weet namelijk ook al hoe jouw vriendennetwerk eruit ziet. De eerder genoemde The Grugq schrijft:
When registering an account with Telegram, the app helpfully uploads the entire Contacts database to Telegram’s servers (optional on iOS). This allows Telegram to build a huge social network map of all the users and how they know each other. It is extremely difficult to remain anonymous while using Telegram because the social network of everyone you communicate with is known to them (and whomever has pwned their servers).
Flisbäck merkt op dat de gelekte metadata handig kan zijn voor stalkers: het enige wat je nodig hebt is namelijk het telefoonnummer van het doelwit. Voeg je het telefoonnummer toe aan je contacten, dan kun je ook de metadata van die telefoon achterhalen. Als twee personen vervolgens om beurten online gaan om Telegram te gebruiken, weet je dat ze met elkaar in gesprek zijn.
Helaas kun je als Telegram-gebruiker niet blokkeren dat jouw metadata over aan- en afmeldgedrag naar de servers van het bedrijf worden gestuurd. Wel kun je (tenminste op iOS) voorkomen dat de dienst je adresboek uploadt naar de servers van Telegram.
Ondanks deze nieuwe ontwikkelingen is de encryptie van Telegram niet publiekelijk gebroken. In een hackers-wedstrijd lukte het enkele vooraanstaande cryptografie-exports niet om de encryptie van Telegram te doorbreken en met het prijzengeld van $300.000 aan de haal te gaan. Toch weet de app meer van je, dan je denkt.
Telegram biedt versleutelde chats aan en is over het algemeen veiliger dan WhatsApp. De metadata is gelukkig onzichtbaar voor gewone Telegram-gebruikers, maar zou wel gemakkelijk te achterhalen kunnen zijn door geheime diensten.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Ook interessant
Gelezen boeken verwijderen uit Apple’s Boeken-app
Mozilla: ‘Browserkeuzescherm van EU werkt – Firefox-gebruik sterk gegroeid’
USB Restricted Mode: usb-accessoires toegang geven op iPhone en iPad
Kan niet fout gaan: bij Telegram kun je nu je telefoonnummer ‘uitlenen’ voor inlogcodes
Zo zal Telegram eruit zien op de Apple Vision Pro headset
Bij Telegram heb je geen telefoonnummer meer nodig
Ik zie nog maar één oplossing. iMessage en onze vrienden met Android/Windows krijgen een ouderwetsche sms.
En toch is dit niet echt nieuws. Elke social message service die online/offline statussen kan weergeven (dus ook Facebook Messenger of WhatsApp) is bruikbaar om te achterhalen wie met wie praat, als je het op deze manier interpreteert. Want ook daar zie je wie online en even later weer offline gaan. Je kunt daar dus ook gewoon ‘achterhalen’ wie met wie praat. Alhoewel dat altijd nog steeds een gok is.
Een beetje non-nieuws dit dus.
Jij snapt het niet.
Contact maps geven de basis voor het complete kontaktenpatroon.
Jouw stalkinfo is daar slechts één afgeleide van
Waar zijn nou de schreeuwers over Telegram als er iets negatiefs te vinden is over Whatsapp ?
Vraag je ook af waarom zijn deze diensten gratis ??
Gratis bestaat niet.
Dus sowieso doen al deze berichten diensten hoe dan ook wat met de data.
http://www.pcmweb.nl/nieuws/veilige-whatsapp-kloon-telegram-verre-van-veilig.html
(Red.) Deze reactie is door een moderator verwijderd omdat deze niet aan onze reactierichtlijnen voldoet. Antwoorden op deze reactie zijn mogelijk ook verwijderd.
Gratis in de vorm van open source is gewoon gratis. Neem Linux, ook gewoon gratis.
Daarnaast denk ik dat zolang er geen kwantumcomputers zijn er altijd beveiligingsproblemen zullen zijn.
Telegram blijft gewoon een betere app dan Whatsapp, neemt niet weg dat het niet foutloos is. Ik ben blij met de sceptische houding van media tov Telegram, helemaal nu het bekender wordt. Dit dwingt Telegram (ongeacht of ze het anders ook zouden doen) tot actie met bijvoorbeeld het IS nieuws van vorige week.
Vind de titel vrij misleidend, wat het artikel dus eigenlijk alleen zegt is dat de app bijhoudt of je online of offline bent. Dat doet dan toch eigenlijk elke social app? En bepalen of mensen met elkaar in gesprek zijn is dan toch ook maar gewoon een gok op basis van of ze tegelijk online zijn, wat ook gewoon toevallig zou kunnen zijn.
Eens even zien. Er kan metadata worden onderschept wanneer iemand online/offline gaat. Vervolgens stelt de onderzoeker dat je dan er uit “kan” opmaken dat deze personen met elkaar praten. Maar bewijsrechterlijk gezien is dat geen bewijs, want het toont niet aan DAT ze met elkaar praten. Ze kunnen ook toevallig online/offline zijn gegaan afzonderlijk van elkaar.
Daarbij is met elkaar praten geen misdrijf of een overtreding. Vervolgens kan er niet ingezien worden wat er besproken is ALS ze al met elkaar praten dus eigenlijk heb je dus helemaal niks!
Dus is dit negatief nieuws voor Telegram? Nee natuurlijk niet. Het toont in principe niks aan daar het internet aan elkaar hangt van metadata.
Geen negatief nieuws ??
Als ik dit artikel lees is het meer dan alleen metadata dat onderschept wordt.
En hier een verhaal over Crypto Fails
Dus nee veilig is anders.
@Edward: De reden dat ik Telegram fijner vind dan WhatsApp is vanwege de apps die voor iPad en Macbook beschikbaar zijn. Dat WhatsApp web vind ik een slechte oplossing. Dus schreeuw nou niet zo dat iedereen Telegram fijner vindt vanwege de privacy etc. Er zijn ook mensen die Telegram beter vinden omdat het cross platform beter werkt.
(Red.) Deze reactie is door een moderator verwijderd omdat deze niet aan onze reactierichtlijnen voldoet. Antwoorden op deze reactie zijn mogelijk ook verwijderd.
Kan ik begrijpen..
Echter wat betreft de Whatsapp Web oplossing, daar is een hele goed reden voor.
Bij Whatsapp worden afgeleverde berichten niet meer op de server bewaard. Vandaar dat Whatsapp voor het web moet connecten met je telefoon, want daar staan de berichten nog wel. Zeg jij maar wat een prettiger gevoel geeft.
Vooralsnog gaat alleen de zon voor niets op.
Make love, not war iPeople.
Uhm, er staat toch echt dat nog niemand, lees: niemand, de encryptie voor 3 ton heeft gekraakt. Hoezo is de zelf geknutselde encryptie dan horrible? Of is het horrible omdat de zogenaamde hackers er geen raad mee weten?
Daarbij klopt er geen hol van wat de onderzoeker zegt. Hoe vaak ik een bericht stuur aan iemand die op dat moment niet online is gebeurt vaker dan dat we beide online zijn. Dat hele metadata verhaal is gewoon dikke FUD. Zelfs EFF geeft Telegram een dikke plus.
Tot nu toe heb ik nog geen enkel bewijs gezien dat het dusdanig slecht is dat ik als securitymanager mijn klanten het afraadt. En als je een secret chat aanmaakt kan men helemaal niet met een simpele handeling berichten onderscheppen en door laten sturen naar een ander. De ander heeft gewoonweg de sleutel niet om het te lezen. Dus het is allemaal gewoon dikke bullshit. Wat bullshit is is whatsapp. Ik heb een firewall op mijn iphone staan en elke keer als ik een foto maak wilt whatsapp ineens een verbinding maken met een of andere server. Terwijl ik whatsapp niet eens open heb staan. Dat is pas rommel. Binnenkort breng ik daar een artikel van uit nadat ik uitgezocht heb wat whatsapp precies doet en waarmee hij connect en wat hij dan precies verstuurd. Maar mijn idee is dat het ze om de exif data gaat en dat is een grove privacyschending ivm de vaak opgeslagen GPS gegevens.
Ik kan het niet helemaal volgen. Als je dus je online-status verbergt, kunnen anderen dan nog steeds uit de metadata opmaken wanneer je online bent? Het lijkt mij dat dit niet de bedoeling is.
Ik gebruik Telegram inmiddels niet meer. Ze nemen de kritiek op hun zelfontworpen versleuteling en gegevensoverdracht al jaren niet serieus. Deze hoeven maar een keer gekraakt te worden en de dienst is per direct onveilig. De dienst is ook maar gedeeltelijk open-source: de cryptografie en alle servercode zijn closed-source, terwijl alleen de apps die hun publieke API’s implementeren open-source zijn. Ook heb ik geen goed gevoel bij hun bedrijfsstructuur: ze verbergen zich achter een veeltal juridische constructies, waaronder een Engelse vennootschap (met bedrijven uit Belize en Britse Maagdeneilanden als vennoten) en een Amerikaanse bv. Tot kort werd de iOS-app door de Engelse vennootschap aangeboden, inmiddels is dat veranderd in die Amerikaanse bv. Als zij steeds meer naar de VS toetrekken, komen ze in het ergste geval onder jurisdictie van de VS te vallen, terwijl ze van tevoren nog juist Duitsland hadden gepromoot.
Na de aanslagen in Parijs was er een bericht waarin een bijzin stond dat telegram iets van 75 account wegens terroristische content offline had gehaald.
Het eerste wat ik dacht: telegram was toch anoniem en niet leesbaar….
(Ik gebruik het overigens niet)
Mij lijkt signal nog de beste optie, maar die gebruikt niemand dus gebruik ik (naar alle tevredenheid) WA 🙂 .