Vielerorts erfreut sich die Messenger App Telegram des Rufs, „das sichere Whats App“ zu sein, doch auch die Nutzer dieser Anwendung sind vor Hacker-Angriffen nicht gefeit. Wie die Verantwortlichen hinter dem Messenger selbst bestätigten, ist es iranischen Hackern gelungen, Zugriff auf rund ein Dutzend Telegram-Accounts zu erhalten. Dabei haben sie nicht die Software geknackt, sondern die Bestätigungs-SMS abgefangen, die Nutzer erhalten, um Telegram in Betrieb nehmen zu können. Dies legt den Verdacht nahe, dass es sich um eine Hackergruppe handeln könnte, die der iranischen Regierung nahesteht.
Mobilfunkprovider-Unterstützung ist für diese Art des Hacks notwendig
Tatsächlich benötigen Hacker, welche die Bestätigungssms abfangen, die Unterstützung der örtlichen Mobilfunkprovider. Diese leiten die Kurznachricht einfach nicht an den eigentlichen Empfänger weiter, sondern an die Hacker. Geheimdienste von totalitären Staaten haben diese Möglichkeit bereits wiederholt genutzt, um sich Zugriff zu Nachrichten-Applikationen zu verschaffen. Telegram selbst verweist schon seit geraumer Zeit darauf, dass die Gefahr besteht, dass sich Unbefugte auf diese Weise Zugriff auf den eigenen Account verschaffen.
Eine verdächtige Hackergruppe haben die Forscher Claudio Guarnieri (arbeitet für Amnesty International) sowie Collin Anderson, die gemeinsam den Hack aufgespürt haben, bereits ausgemacht. Sie sind der Ansicht dass die iranische Hacker-Gemeinschaft Rocket Kitten die Telegram-Accounts geknackt hat. Tatsächlich steht die Gruppe in dem Ruf, der iranischen Regierung sehr nahezustehen. Möglicherweise hat sie sogar auf Anweisung der Behörden gehandelt, die ihrerseits die örtlichen Mobilfunkprovider verpflichteten, die Hacker zu unterstützen.
Telegram bietet Lösung an
Um zu vermeiden, dass das eigene Konto auf diese Weise gehackt wird, bietet Telegram als Lösung die sogenannte „zweistufige Authentifizierung“ an. Direkt nach dem erstmaligen Aktivieren der App auf einem Gerät kann man diese ebenfalls anschalten. Zusätzlich zur SMS kann der Nutzer ein Passwort festlegen, das zur Aktivierung von weiteren Geräten eingegeben werden muss. Der Besitz der Kurznachricht reicht in diesem Fall nicht mehr aus. Allerdings weist Telegram während der Installation der App nicht von alleine auf diesen Service hin. Das Feature muss vom User eigenständig gefunden und aktiviert werden. Dies erscheint unverständlich in Anbetracht der Tatsache, dass man sich bei Telegram um der Gefahren des SMS-Hacks bewusst ist.
Zuständige US-Behörde empfiehlt Verzicht auf SMS-Authentifizierung
Tatsächlich sind sich auch die staatlichen Institutionen der Gefahren bewusst, die von der SMS-Authentifizierung in vielen Ländern der Erde ausgehen. So empfiehlt beispielsweise die zuständige US-Behörde NIST, dass man gleich ganz auf das Verfahren verzichten solle. Stattdessen solle man auf eine Zwei-Faktor-Authentifizierung (2FA) vertrauen. Viele US-Konzerne wie Google, Dropbox oder Microsoft ermöglichen diese über eine App und schalten die Mobilfunkprovider als „men in the middle“ damit aus.