Ondanks de populariteit van Telegram bij journalisten, dissidenten, maar ook bij terroristen en criminelen, als beveiligd alternatief voor WhatsApp, is de app toch niet zo waterdicht als gedacht.
Eerder deze maand raakte bekend dat Iraanse hackers erin zijn geslaagd om verschillende accounts te kraken van Telegram, een platform waarmee men beveiligde (lees: versleutelde) berichten kan sturen en ontvangen. De belangrijkste reden waarom dit nieuws aandacht verdient, is volgens mij toch wel dat alweer een hardnekkige mythe wordt ontkracht: het gebruik van Telegram op zich is niét de ideale manier om veilig te communiceren. De gebruikers worden aangetrokken door de belofte dat de boodschappen worden versleuteld en daardoor dus niet kunnen worden gelezen, zelfs als ze worden onderschept. Op zich klopt dat, maar één essentieel detail wordt daarbij over het hoofd gezien.
De zwakste schakel is in dit geval niet de versleuteling van de boodschap en het beveiligd transport, maar doodeenvoudig de sleutel zelf. Wie in jouw account kan binnenbreken, heeft meteen ook de sleutel in handen om door jou gestuurde en ontvangen boodschappen te lezen. En wat blijkt? Die sleutel kan eenvoudig per e-mail of sms worden ontvangen, en dus ook onderschept. Voor een hacker betekent dit concreet dat hij of zij de encryptiecode niet hoeft te kraken. Het volstaat om de e-mail of sms te onderscheppen waarin de gebruiker de toegangscode krijgt toegestuurd. Telegram mag dan nog het moeilijkst te ontmantelen slot hebben bedacht, als de sleutel onder de mat ligt, geraakt de inbreker nog altijd moeiteloos binnen.
Een beetje ‘social engineering’ volstaat. Of wat medewerking natuurlijk van bevriende telecombedrijven die je de inhoud van de sms'en met de inloggegevens zomaar op een schoteltje bezorgen. Een gunst waarop sommige regimes ongetwijfeld al hebben kunnen rekenen.
Alles bij de bron; deRedactie