Encryptie van Telegram blijkt niet 100% waterdicht

De app Telegram moet een veilig alternatief bieden voor populaire chatapps als WhatsApp. Geen enkele software is echter honderd procent waterdicht, ook Telegram niet. Twee beveiligingsonderzoekers hebben een kwetsbaarheid in Telegram aangetroffen waarmee versleutelde gesprekken kunnen worden gekraakt.

De kwetsbaarheid is ontdekt door Alex Rad en Juliano Rizzo. Het beveiligingsgat heeft vooral te maken met de wijze waarop gebruikers omgaan met de beveiliging van Telegram. Gebruikers van de beveiligde chatapp kunnen gebruik maken van end-to-end-encryptie. Wie dit wil zal visuele vingerafdrukken moeten vergelijken, die kan worden afgeleid uit de gedeelde geheime sleutel.

Visuele vingerafdruk uitwisselen

Gebruikers zijn vaak echter niet bij elkaar in de buurt aanwezig en kunnen dus niet zo maar naar elkaar toelopen om de visuele vingerafdruk te vergelijken. Veel gebruikers kiezen er daarom voor een screenshot te maken van de vingerafdruk en deze door te sturen naar hun gesprekspartner. Hier gaat het dan ook fout. Deze screenshot kan namelijk via een man-in-the-middle-aanval worden onderschept, waardoor de visuele vingerafdruk in handen valt van een aanvaller.

Door de mogelijkheid de visuele vingerafdruk af te leiden van de gedeelde geheime sleutel kunnen aanvallers daarnaast zelf een nepversie van de visuele vingerafdruk maken. Hier is echter wel een enorme hoeveelheid rekenkracht voor nodig. In de praktijk kan dan ook alleen een aanvaller die de beschikking heeft over een supercomputer of botnet een dergelijke visuele vingerafdruk namaken.

‘Aanvallen zijn zeer kostbaar’

Telegram stelt dan ook misbruik van de kwetsbaarheid in de praktijk niet haalbaar is. Gebruikers zouden maar liefst een biljoen dollar en 50 miljard kWh aan elektriciteit moeten inzetten om de beveiliging van een gesprek te kraken en deze af te kunnen luisteren. Voor geen enkel gesprek zou deze investering de moeite waard zijn. Telegram stelt dan ook dat gebruikers geen gevaar lopen.