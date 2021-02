In der kostenlosen Messenger-App Telegram ist es offenbar zu einem Sicherheitsproblem bei Audio- und Videodaten gekommen, die zur Löschung vorgesehen waren: Auf Geräten mit dem Betriebssystem macOS wurden sie nach Ablauf des Timers nicht wie vorgesehen automatisch gelöscht.

Selbstlöschende Inhalte blieben im Speicher erhalten

Im Modus "Geheimer Chat" bietet der Messenger gegenüber dem Standardchat erweiterte Privatsphäre-Einstellungen – so sind im geheimen Chat alle Verbindungen End-to-End-verschlüsselt, Nachrichten lassen sich nicht an Dritte weiterleiten und alle Textnachrichten sowie Medieninhalte können sich potentiell selbst entfernen, sofern ihr Absender das voreingestellt hat, woraufhin die App die Inhalte nach Ablauf der festgelegten Zeit automatisch von allen Geräten löscht. Die Funktion scheint bei einigen Telegram-Nutzern jedoch nicht funktioniert zu haben, wie ein Cybersecurity-Experte nun herausgefunden hat.

Bei einem Telegram Security Audit auf macOS entdeckte der Sicherheitsanalyst Dhiraj Mishra, dass in Standardchats der Sandbox-Pfad, über den die App empfangene Video- und Audiodateien speichert, ein Datenleck aufweist. Zwar war im geheimen Chatmodus die Schwachstelle nicht vorhanden, allerdings legt die App offenbar auch in geheimen Chats empfangene Mediendateien im selben Ordner ab wie im Standardchat.

Nachweis der Sicherheitslücke im Selbsttest

Mishra testete die Lücke durch Versand einer selbstzerstörenden Nachricht im Modus "Geheimer Chat" und konnte nachweisen, dass die versandte Botschaft nach dem scheinbaren Löschen im Chat weiterhin im Speicher vorhanden war – hierzu fertigte er ein Video als Proof-of-Concept an, das in seinem Blog und auf YouTube einsehbar ist:

Telegram: selbstzerstörende Nachrichten werden nicht gelöscht Proof-of-Concept des Sicherheitsanalysten Dhiraj Mishra auf YouTube

Belohnung für das Auffinden von Lücken

Als "Sahnehäubchen" speicherte Telegram unter macOS offenbar lokalen Passiercode unverschlüsselt im Klartext, auch hierzu hat Mishra ein Video in seinem Blog deponiert. Beide Sicherheitslücken betrafen Version 7.3 von Telegram und sind in Version 7.4 (212543) Stable dann gepatcht worden. Der Informatiker erhielt seitens Telegram eine Belohnung in Höhe von 3000 Euro für das Aufspüren der Sicherheitslücke.

Interessierte können den vollständigen Bericht des Sicherheitsanalysten in dessen Blog nachlesen.

(sih)