Het versleutelingsalgoritme van berichtendienst Telegram laat het afweten. Beveiligingsonderzoekers vonden enkele kleine maar veelzeggende fouten die vragen doen rijzen bij het nut van het eigen systeem.
Berichtendienst WhatsApp versleutelt berichten van gebruikers via end-to-end-encryptie via het Transport Layer Security (TLS)-protocol. Dat is een transparant en open protocol dat uitstekende beveiliging biedt en daarom uitgroeide tot wereldwijde standaard. Concurrent Telegram weigert dat protocol te omarmen en kiest in de plaats daarvoor voor het zelf ontwikkelde en gesloten MTProto-algoritme, dat hetzelfde doel heeft. Het gebrek aan transparantie leverde Telegram al kritiek op en terecht: het algoritme blijkt opnieuw minder veilig dan TLS.
Beveiligingsonderzoekers ontdekten vier lekken in MTProto die ze konden misbruiken om met de berichten te prutsen. Dramatisch waren de lekken gelukkig niet. Een aanvaller kon er onder andere de volgorde van zinnen in berichten mee aanpassen. De vondst toont vooral aan dat MTProto omwille van de geslotenheid minder veilig is dan alternatieven.
Vertrouwen
Telegram heeft de bugs intussen platgetrapt. Het is niet de eerste keer dat Telegram in opspraak komt. Vorig jaar nog kwamen er gegevens van miljoenen gebruikers op straat te liggen. De berichtendienst oogst al geruime tijd kritiek van experts omwille van zijn halsstarrig vasthouden aan security door obscurity: omdat MTProto geen open protocol is, kunnen onderzoekers moeilijker vaststellen of het echt veilig is. Uiteindelijk vertrouw je telegram op zijn woord, terwijl je bij WhatsApp het open TLS-algoritme vertrouwt, en niet moederbedrijf Facebook.