'Veilige' WhatsApp-kloon Telegram verre van veilig

Na de geruchtmakende overname van WhatsApp door Facebook, komen de eerste berichten al binnen over gebruikers die per direct willen overstappen naar een andere berichtendienst. Eén van de veelgenoemde alternatieven is het veiligheids- en privacyvriendelijke Telegram, dat inmiddels steeds meer aan populariteit wint. Maar is Telegram wel echt zo veilig als het pretendeert?

Lees ook: Workshop: Telegram installeren op je pc


Telegram wordt aangeprezen als een "veilige, versleutelde manier van berichten versturen." In eerste opzicht lijkt de dienst als twee druppels water op WhatsApp, al zijn er enkele opties die verschillen. Zo kun je een "beveiligde chat" beginnen, waarmee de berichten standaard van eind tot eind versleuteld worden, en bovendien kun je instellen of je wilt dat die berichten na een tijdje bij de ontvanger verdwijnen. Ook is het voor de ontvanger niet mogelijk dat bericht door te sturen.

 

Goede app. Toch?

Telegram lijkt op het eerste gezicht een goede app te zijn. Het werkt goed (en snel, zoals we hier merkten!), werkt op zowel Android als iOS en er is zelfs een onofficiële desktopversie. Maar is de app wel veilig? Daar verschillen de meningen over. Sowieso is een gratis dienst zonder advertenties dubieus; want waar verdient Telegram zijn geld mee?
 

Eigen beveiligingsprotocol

En dan is er nog de discussie over de encryptie van Telegram. Het bedrijf heeft namelijk een eigen beveiligingsprotocol opgebouwd. Volgens cryptografie-experts is het extreem onveilig om je eigen protocol te bouwen in plaats van de bestaande te gebruiken.

Zo gebruikt Telegram de SHA1-hash in zijn encryptieprotocol. Dat is een opmerkelijke keuze voor een app die veiligheid zo belangrijk vindt, want SHA-1 staat al een tijdje bekend als een onbetrouwbaar protocol.
 

Geen TLS

Daarnaast gebruikt Telegram niet het standaard TLS-protocol (zoals WhatsApp), maar een zelfgeknutselde beveiliging. Die zorgt ervoor dat de versleuteling alleen tussen de gebruiker en de server plaatsvindt.

Dat zelfgemaakte protocol is zonder veel moeite te manipuleren, zodat berichten niet bij de bedoelde gebruiker terecht komen maar bij iemand anders.
 

'Man in the middle'

Er is wel de "beveiligde chat", die de berichten wel van eind tot eind versleutelt, maar in die berichten wordt volgens het zelfgemaakte protocol geen authenticatie voor de eindgebruiker gebruikt. Dat betekent dat het heel makkelijk is om op de server een 'Man In The Middle'-attack te plaatsen, waarmee het verkeer kan worden afgeluisterd door hackers of overheidsorganisaties (zoals de NSA). Erger nog, het protocol maakt het mogelijk dat een dergelijke attack niet op te merken is.
 

Onbekende afkomst

Buiten de zwakke encryptie is ook de afkomst van de app dubieus te noemen. Telegram is namelijk gemaakt door medewerkers van de Russische tegenhanger van Facebook, VKontakte. Zeker omdat er geen direct verdienmodel achter Telegram zit (geen advertenties, gratis), is het maar de vraag wat er met je informatie gebeurt. De app wil namelijk wel toegang tot je adresboek, waardoor het al je nummers heeft. En als de beveiliging echt zo zwak is, is het maar de vraag hoe veilig je gegevens zijn.

Ons advies: wacht er maar even mee om Telegram als volwaardige vervanger te gebruiken.


 

UPDATE

In het artikel wordt verkeerd gesuggereerd dat Telegram onderdeel is van de Russische tegenhanger van Facebook, VKontakte. Dat is niet waar. De oprichters van VKontakte hebben ook Telegram opgericht, maar de twee bedrijven werken niet samen. Als uit het artikel blijkt dat de diensten wel samenwerken, dan betreuren we dat.

De redactie suggereert daarnaast niet dat Telegram niet te vertrouwen is. Naar aanleiding van de commentaren grijpt de auteur graag deze plek aan om te melden dat dat niet het geval is. Wat wel zo is, is dat we een gratis dienst zonder duidelijk verdienmodel sceptisch bekijken. Dat zou iedereen moeten doen bij iedere service. Het wil niet zeggen dat we denken dat Telegram een 'foute' dienst is, maar dat we ook (nog) niet weten of het de 'good guys' zijn.

Deel dit artikel
Voeg toe aan favorieten