Sicherheitslücke: Telegram wettert gegen Check Point wegen falscher Darstellung

In diversen Medien war heute die Meldung zu lesen, dass in den Web-Versionen von WhatsApp und Telegram eine kritische Sicherheitslücke geschlossen werden müsste, welche die vollständige Übernahme fremder Accounts ermöglichte. Für einen erfolgreichen Angriff hat es ausgereicht, ein mit Schadcode infiziertes Bild zu öffnen. Die Sicherheitsfirma Check Point hatte den Fehler entdeckt und am 8. März an WhatsApp und Telegram gemeldet. WhatsApp habe die Lücke binnen 24 Stunden gefixt, Telegram habe etwas länger benötigt, heißt es in den Berichten z.B. auf heise.

Die Macher von Telegram widersprechen dieser Darstellung in einem öffentlichen, äußerst aggressiv formulierten Statement und erheben schwere Vorwürfe gegen Check Point. Die Meldung an die Medien sei irreführend formuliert gewesen und habe das Problem übertrieben dargestellt, um den “maximalen PR-Effekt” zu erzielen. Dies sei typisch für Sicherheitsunternehmen, die nach Aufmerksamkeit suchen.

In dem Statement ist beschrieben, dass in Telegram zwar im Grunde die selbe Schwachstelle steckte, der Benutzer aber nicht durch bloßes Öffnen einer Datei infiziert werden konnte. Die Vorgehensweise ist exakt beschrieben: Um die Lücke auszunutzen, hätte man den Empfänger dazu verleiten müssen, das Video abzuspielen und während der Wiedergabe das Kontextmenü aufzurufen und das Video in einem neuen Browser-Tab zu öffnen. Das sei ein Szenario, das praktisch niemals vorkomme. Trotzdem habe man natürlich reagiert und die Lücke geschlossen. In WhatsApp Web dagegen war der Angriff bereits mit dem Öffnen des Videos erfolgreich abgeschlossen. Und während dessen Nutzer nun im Unklaren seien, ob sie ausgespäht wurden, könnten sich Telegram Nutzer sicher sein. Wer die beschriebene Aktion in dieser Form niemals ausgeführt habe, der sei auch garantiert nicht Opfer dieser Lücke geworden.