chartmix schrieb:
Ist das so klar, dass die Angriffe über die E2EE-Verschlüsselung erfolgte? Oder geschah es eher über andere Wege?
Vielleicht bin ich naiv, vielleicht bist du naiv, vielleicht wir beide.
Hatte Telegram nicht auch schon einige ordentliche sicherheitstechnische Probleme? Frag mal die Protestoren in Hong Kong. War nicht so toll.
Daher finde ich meine Aussage nicht total naiv: WhatsApp hat standardmäßig eine E2EE-Verschlüsselung (Signalprotokoll), Telegram standardmäßig NICHT und es ist ein Eigengebräu.
okay, ich muss hier wohl etwas aufklären.
1. Die Angriffe auf WhatsAPpp wurden NICHT auf den E2E Teil ausgeführt, da dieser in der Tat sehr sicher ist (hat man sich von Signal geforkt). Die App besteht aber nunmal nicht nur aus einem E2E Tunnel, der Tunnel ist nur ein Werkzeug. Die App drum herum ist closedSource und daher nicht zu überprüfen. Alle bekannten Angriffe auf WhatsApp greifen BEVOR der Tunnel aufgebaut wird, die E2E Fähigkeit wird also umgangen. Im Fall Kashoggi konnten die Saudis durch einen gefakten Anruf die Kontrolle über die ganze App erlangen, und Kashoggi musste dafür den Anruf nichtmal annehmen.
2. Telegram gilt als bisher ungehackt. Die Probleme im Honk Kong waren kein Bug, sondern ein Feature. Denn wenn Du die Handy-Nummer eines Gruppenteilnehmers kennst, also sie in Deinem Adressbuch hast, dann wird dir der Name angezeigt. Die chinesischen Beamten haben dann einfach ein komplettes Telefonbuch der Stadt in ihre Adressbuch hoch geladen, dadurch konnten sie die Leute identifizieren, da sie ja in ihrem Adressbuch waren.
Es hat nur wenige Tage gedauert bis Telegram darauf reagiert hat. Seitdem kann man seine Nummer unsichtbar machen, auch wenn die Gegenseite die Person im Adressbuch hat.
3. Das Telegram Verschlüsselungs-Protokoll heißt MTProto (mittlerweile V2.0) und gilt als bisher ungehackt. Es ist eine Eigenentwicklung, da die etablierten Bibliotheken und Techniken langsamer sind. MTProto ist für Telegram optimiert und bietet mehr Features als es andere Protokolle haben. Daher nutzen sie ihr eigenes.
Das standardmäßig nicht E2E verschlüsselt wird, ist kein wirklich großes Problem. Wenn man wirklich was sensibles übertragen will, kann man einen geheimen Chat starten. Damit verzichtet man aber auf viele Features, die eben E2E nicht möglich sind (Vor allem geräteübergreifende Synchronisation). Ich denke das ist ein guter Kompromiss.
