Der erste einfache Test ist: Gebt eine Nachricht mit einem Link wie https://www.heisec.de ein, schickt sie aber noch nicht ab. Ihr seht dann, dass Euer Smartphone bereits einige Informationen zu der Seite anzeigt.
Das macht zum Beispiel WhatsApp auch. Da holt sich die App auf dem Handy im Hintergrund die Informationen von der URL und zeigt sie Euch an. Nicht so Telegram: Dort liefert die App alles, was ihr tippt, an den Telegram-Server – schon bevor ihr es abschickt. Und dieser Server besucht dann die URL und liefert das mit dem "Portal zur IT-Security" an die Telegram-App auf dem Handy.
Ich habe diesen Test mit einer Honey-URL gemacht. Also einer URL, die nur für diesen Zweck erzeugt und zuvor nie irgendwo benutzt wurde. In den Log-Dateien meines Honey-URL-Servers tauchte sofort, nachdem ich diese URL in der Telegramm-App eingetippt hatte, ein Zugriff des TelegramBots auf. Der hatte die IP-Adresse 149.154.161.10, die zu einem Telegram-Server in England gehört. Das geschah wohlgemerkt bereits bevor ich den Link verschickt habe.
Beim Gegencheck mit WhatsApp registrierte der Honey-Server ebenfalls einen Zugriff. Aber der erfolgte wie erwartet von meiner eigenen IP-Adresse aus. Die App auf meinem Smartphone im WLAN hatte die Daten abgerufen, kein externer Server.
Das komplette Chat-Archiv
Nun zum zweiten Test. Öffnet auf dem PC in einem privaten Browser-Fenster die Web-Seite des Telegram-Chats: https://web.telegram.org/. Dort müsst ihr euch mit eurer Handy-Nummer anmelden. Dann schickt euch Telegram einen Login-Code in Form einer sechsstelligen Zahl. Noch bevor ihr die in euren Browser eintippt, schaltet ihr das Handy jedoch in den Flug-Modus, sodass es keine Daten mehr senden kann. Wenn ihr dann den Code im Browser eingebt, öffnet sich trotzdem eine Web-Seite mit all Euren Chats.
Was denkt ihr, woher diese Daten kommen? Nicht von Eurem Handy. Denn das befindet sich ja im Flug-Modus ohne Netz. Und bevor ihr Euch mit dem Code ausgewiesen habt, darf der Browser auf gar keinen Fall eure Daten bekommen haben. Es bleibt nur eine einzige Möglichkeit: Die Inhalte der Chats stammen von dem Web-Server, mit dem euer Browser spricht. Bei mir war das ein Server in einem Rechenzentrum in Amsterdam (149.154.167.99).
Dieser Server hat also Zugriff auf eine komplette Kopie all meiner Chats. Die enthält sogar schon die vorher eingetippte, aber noch nicht abgeschickte Nachricht mit der heise-Security-URL als "Entwurf". Und natürlich lagern bei Telegram nicht nur meine Chats – sondern die aller Telegram-Nutzer.
