Unsichere Bots erlauben Zugriff auf Telegram-Nachrichten

Die Sicherheitsexperten von Forcepoint Security Labs haben untersucht, wie Kriminelle die Messaging-App Telegram nutzen können, um Malware zu steuern. Dabei haben sie eine Schwachstelle in der Bot-Schnittstelle des Angebots gefunden, die Dritten unter Umständen den Zugriff auf die komplette Nachrichtenhistorie einzelner Chats verschaffen kann, wie Forcepoint in einer Aussendung berichtet. Die Angreifer müssten dafür allerdings in der Lage sein, HTTPS-Datenübertragungen abzufangen und zu entschlüsseln.

Zugriffe auf Chats in Echtzeit und den Gesprächsverlauf sind möglich, wenn Bots beteiligt sind. So sind Unterhaltungen zwischen zwei Menschen sicher, aber Konversationen zwischen Mensch und Bot nicht. Wer Mitglied einer Chatgruppe ist, in der auch ein Bot eingebunden ist, ist aber ebenfalls anfällig. Das liegt daran, dass Telegram Chats zwischen Menschen mit zusätzlicher Verschlüsselung sichert. Der Zugriff auf Bots über die Programmierschnittstelle ist aber nur mit dem als wenig sicher geltenden HTTPS geschützt.

Enttarnt

Ist ein Bot an einer Unterhaltung beteiligt, muss ein Angreifer sich lediglich den API-Schlüssel des Bots und die jeweilige Chat-Identifizierungsnummer besorgen. Beide Werte werden in jeder Anfrage eines Bots bei der Schnittstelle mitgeliefert. Wer HTTPS abfangen und entschlüsseln kann, hat also Zugriff. Mit diesen Informationen kann ein Angreifer verschiedene Dinge von der Schnittstelle abfragen. So lassen sich etwa aktuelle und vergangene Nachrichten an einen beliebigen Telegram-Account weiterleiten. Für eine bestimmte Nachricht muss dazu die Nachtrichten-Identifikationsnummer angegeben werden. Diesen Wert zu finden ist trivial, weil Telegram bei der ersten Mittelung mit 0 zu zählen beginnt und jede weitere Mitteilung die nächsthöhere Zahl als Identifikationsnummer bekommt.

Die Sicherheitsexperten konnten die Verwendudung von Telegram als Steuerungszentrale für Malware in freier Wildbahn beobachtet. Ein Angreifer hat ein Schadprogramm namens "GoodSender" verbreitet, die auf befallenen Maschinen einen neuen Administrator-Account anlegt und die Steuerung über das Netz aktiviert. Der Nutzername, das jeweils zufällig generierte Passwort für den Admin-Acoount und die IP-Adresse des befallenen Geräts werden dann per Telegram an den Angreifer geschickt. Die Sicherheitsforscher haben die oben beschriebene Schwachstelle ausgenutzt, um dem Schöpfer von GoodSender auf die Schliche zu kommen. Sie haben den Bot, den der Angreifer für die Kommunikation mit Telegram nutzte, enttarnt. Das war möglich, weil der Urheber schlampig gearbeitet hat und seine IP-Adresse über den Bot einsehbar war. Mindestens 120 Computer weltweit waren infiziert, der Großteil davon in den USA.

Die Forscher haben Telegram über die Sicherheitslücke informiert, bislang aber keine Reaktion erhalten. Die Experten empfehlen, Bots in Telegram zu meiden.