Eine Hackergruppe hat im Iran rund ein Dutzend Konten des verschlüsselnden Messengers Telegram abgehört, wozu vermutlich die Mithilfe eines iranischen Mobilfunkproviders vonnöten war, wie Reuters berichtet. Dabei wurde nicht etwa die Verschlüsselung geknackt, sondern das Konto angegriffen: Die Angreifer haben die Bestätigungs-SMS abgefangen, die Telegram bei der Installation der App ans Smartphone sendet. Damit gelang es den Hackern, weitere Geräte mit dem Konto zu verbinden und somit alle Nachrichten abzuhören und eigene zu schreiben.

Den zusätzlichen Passwortschutz per zweistufiger Bestätigung findet man im Einstellungsmenü unter "Privatsphäre und Sicherheit".

Diese Art von Angriffen ist immer dann möglich, wenn die Hacker mit einem Mobilfunkprovider zusammen arbeiten, etwa die Geheimdienste in totalitären Staaten. Der Forscher Claudio Guarnieri von Amnesty International und der Sicherheitsexperte Collin Anderson, die den Hack entdeckt haben, vermuten die iranische Hackergruppe Rocket Kitten hinter dem Angriff, die der Regierung im Iran nahe stehen soll.

Zweifaktor-Authentifizierung möglich, aber freiwillig

Telegram selbst bestätigt den Angriff, verweist aber darauf, dass sie ihre Nutzer schon länger vor dieser Art von Angriffen warnen. Auch gibt es eine Lösung: Direkt nach Aktivieren des Geräts kann man die "zweistufige Bestätigung" aktivieren und so ein zusätzliches Passwort zum Aktivieren von neuen Geräten festlegen. Nur die Kenntnis der Bestätigungs-SMS reicht dann nicht mehr.

Das Einrichten dieser Sicherheitsfunktion ist allerdings freiwillig, zudem muss der Benutzer davon wissen: Die App weist etwa bei der Installation nicht von selbst darauf hin.

Das Setzen eines Passworts muss man dann per Link in einer Mail bestätigen.

Für sicherheitskritische Anwendungen reicht damit zumindest in einigen Ländern eine SMS als Zugangsschutz nicht aus. Die US-Bundesbehörde NIST (National Institute of Standards and Technology) empfiehlt darüber hinaus, sogar für den zweiten Teil einer Zweifaktor-Authentifizierung (2FA) nicht mehr auf eine SMS zu vertrauen. Viele Dienstanbieter wie Microsoft, Google, Evernote, Dropbox oder Tresorit realisieren 2FA mittlerweile über eine App, beispielsweise den Google Authenticator.

Brute-Force-Angriff auf öffentliche Daten

In einem zweiten Angriff haben die Hacker laut der Sicherheitsforscher 15 Millionen iranische Handynummern identifiziert, die einen Telegram-Konto besitzen. Sie haben dabei einfach alle möglichen Telefonnummern beim Telegram-Server abgefragt und die öffentlich zugänglichen Informationen gesammelt. An kritische Daten wie Passwörter seien die Hacker dabei nicht gekommen. Telegram habe laut Blog diese Art der Brute-Force-Abfrage gestoppt. (jow)