Telegram-bots kunnen relatief ongemerkt meelezen in groepsgesprekken - update - IT Pro - Nieuws

Wie een Telegram-bot toevoegt aan een groepsgesprek, moet er rekening mee houden dat de bot berichten kan meelezen. Standaard kan dat niet, maar beheerders van bots kunnen de instelling achteraf wijzigen, zonder dat groepen daarvan op de hoogte worden gesteld.

Telegram privacy De botfunctionaliteit van Telegram maakt het mogelijk om vanuit een Telegram-gesprek bijvoorbeeld gifjes op te vragen of polls aan te maken in een groeps-chat. Bots lijken daarbij een normale deelnemer aan een gesprek, met een belangrijk verschil: bots kunnen standaard enkel commando's beginnend met een slash lezen; toegang tot overige berichten in gesprekken is dan niet mogelijk. Daar zorgt de speciale bots-api van de chatdienst voor.

Bovendien kunnen gebruikers in een chat zien of een Telegram-bot toegang heeft tot alle berichten: dat is in het overzicht van de groep onder de naam van elke bot te zien. Uit een test van Tweakers blijkt echter dat die toegang achteraf kan worden aangepast, zonder dat gebruikers daar actief over worden geïnformeerd. Ze kunnen dat enkel zien op de overzichtspagina van het chatgesprek.

Ondertussen kan een kwaadwillende met een bot bijvoorbeeld alle berichten in groepsgesprekken doorsluizen naar zichzelf. Daarbij kunnen ook verstuurde foto's en stickers worden opgeslagen. Telegram waarschuwt daar nergens voor: de chatdienst, die zichzelf juist laat voorstaan op privacy, meldt enkel dat bots 'standaard geen toegang hebben tot gesprekken'.

Ontwikkelaars kunnen Telegram-bots gebruiken om vanuit een script berichten naar een Telegram-gebruiker te sturen. Telegram heeft daartoe een api gebouwd. Bouwers van een bot kunnen bijvoorbeeld een webhook gebruiken, al moeten ze daarvoor wel een webserver gebruiken die https ondersteunt. Daarbij verzorgt Telegram de afhandeling van de berichten; relevante berichten voor de bot worden dan doorgestuurd naar de webhook.

Update, 15:28: Telegram laat weten dat het nadenkt over een mogelijkheid om het probleem op te lossen. "Waarschijnlijk zullen we dat doen door een bericht naar chats te sturen op het moment dat de bevoegdheden van een bot worden gewijzigd", aldus Telegram-woordvoerder Markus Ra.

IT-banen

Reacties (88)

TimDJ 23 juli 2015 14:32

Zou je telegram niet eerst even de kans geven dit te repareren?

Nogne @TimDJ • 23 juli 2015 14:35

Als Telegram geen commentaar wil leveren, dan zullen zij dit probleem niet heel serieus nemen.

Ikzelf gebruik Telegram dagelijks en heb eigenlijk nog nooit een bot gezien of mee gewerkt.

tom.cx @Nogne • 23 juli 2015 15:18

Het gebruiken van een bot was ook populair bij Windows Live Messenger/MSN. Alleen dit is wel anders. Want bots konden vaak niet in groepen komen.

Veda88 @tom.cx • 23 juli 2015 15:42

Er is nog een ander (groter) verschil. In MSN werd een bot gewoon als een persoon behandeld. De bot kon alles meelezen wat hij binnen kreeg en iedereen wist dat en dat was logisch. Als je de bot uitnodigde in een groepsgesprek dan kon de bot net als iedereen die uitgenodigd was allemaal lezen.

Bij Telegram is dat anders. Hier hebben ze een aparte functie ingebouwd waarbij je een bot kunt uitnodigen en er zeker van kunt zijn dat je berichtjes niet bij die bot terecht komen. Echter kan die bot nu automatisch zonder dat je daar makkelijk bericht van krijgt, de instelling wijzigen waardoor hij toch alles leest.

analog_ @Veda88 • 23 juli 2015 19:52

Waarom zou ik een passieve bot willen uitnodigen in een gesprek? ./stupid

Dennahz @analog_ • 23 juli 2015 21:20

/price CUR/PAIR (BTC/USD)

Om maar een voorbeeld te noemen

Zo haalt een bot bijvoorbeeld de huidige Bitcoin prijs op van een exchange. Zo zijn er wel meer dingen waarvoor bots nuttig zijn

Of een bot die automatisch data uit een API plukt en weergeeft in de groep.

[Reactie gewijzigd door Dennahz op 22 juli 2024 17:26]

cyberstalker @Veda88 • 23 juli 2015 16:12

Nee, de bot kan dit niet zelf wijzigen. Dit kan enkel de beheerder van de groep als ik het artikel correct lees. De vraag die je je dus moet stellen is: Vertrouw ik de beheerder van de groep. Is het antwoord ja dan is er dus helemaal niets aan de hand.

roy-t @Nogne • 23 juli 2015 15:04

Bedrijven kunnen niet zomaar alles en iedereen meteen te woord staan. Sowieso krijg je in het begin nooit een belangrijk iemand te spreken. Ik zou daarom niet concluderen dat Telegram het onbelangrijk vindt omdat ze niet meteen gereageerd hebben op een nieuwsbericht van een (stiekem toch) onbekende Nederlandse nieuwssite.

Sowieso is het nogal een storm in een glas water. Immers kan de persoon die de bot heeft toegevoegd aan je gesprek sowieso alle berichten zien, die persoon is dus al een lek van informatie, of deze het nu door speelt via bots, of gewoon zelf door stuurt.

Wat me niet duidelijk is, is of iemand van buiten het gesprek de bot kan misbruiken.

[Reactie gewijzigd door roy-t op 22 juli 2024 17:26]

Tukkertje-RaH @roy-t • 23 juli 2015 15:27

Sowieso is het nogal een storm in een glas water. Immers kan de persoon die de bot heeft toegevoegd aan je gesprek sowieso alle berichten zien, die persoon is dus al een lek van informatie, of deze het nu door speelt via bots, of gewoon zelf door stuurt.

Dat blijkt dus niet te hoeven: Ricmaniac (hieronder) geeft aan dat je binnen een groepschat ook bots van niet-deelnemers kan gebruiken. Dat kan heel handig zijn om (Ricmaniac's voorbeelden) het weer op een locatie op te vragen bijvoorbeeld.

Als die bots dus niet beheerd worden door de personen in de chat (maar van buitenaf worden geladen) dan is het wel degelijk een serieus lek dat deze zonder waarschuwing vooraf dus mee kunnen lezen met wat er in die chat gebeurt.

Op https://core.telegram.org/bots is een overzicht van bots te vinden die (over het algemeen) niet door de deelnemers van een groepsgesprek worden beheerd: GitHub Bot, Image Bot, Pollbot, Trivia Bot, etc.

Update: via Hackernews toevallig een berichtje over een Doctor Bot:
Your Own Doctor on Telegram Messenger - Real doctors answer medical queries on your phone any time, anywhere, every time
(https://www.icliniq.com/telegram/index)

[Reactie gewijzigd door Tukkertje-RaH op 22 juli 2024 17:26]

Anoniem: 16328 @roy-t • 23 juli 2015 15:19

Telegram liep een paar dagen geleden nog te huilen dat een paar hosting sites niet bereikbaar waren in het weekend om een DDoS te stoppen. Wat blijkt nu? Telegram is zelf doordeweeks niet bereikbaar voor media.

Michaelr1 @Anoniem: 16328 • 23 juli 2015 15:24

Ontzettend kromme vergelijking, een hosting provider die niet bereikbaar is in het weekend tijdens DDoS aanvallen, tegenover Telegram die geen media te woord kan/wil staan.. Vind het nogal een verschil..

Ricmaniac @Nogne • 23 juli 2015 14:50

Gebruik het ook dagelijks en voor de gein hebben we in een paar groepschatten die bots toegevoegd, was in het begin even leuk maar vrij snel weer er uit gegooid.

zo had je bijvoorbeeld de imagebot typ je bijv " /get Computer" en stuurt die bot ineens een random plaatje van een computer in de chat.

wat ook een leuke was is de weather bot.
/current HILVERSUM, NETHERLANDS
en geeft die vervolgens een summary van het huidige weer in Hilversum

Had niet verwacht dat die bots dat zouden kunnen doen , naar zichzelf sturen.. want ging er van uit dat het niet zomaar door andere mensen werd gemaakt maar door het bedrijf achter telegram zelf. Maar nooit echt naar gekeken dus ja. na 3/4 dagen ook gewoon weer al die bots verwijderd

Anoniem: 16328 @Ricmaniac • 23 juli 2015 15:22

De weather-bot is in jouw beheer of in andermans beheer? De beheerder van de bot kan namelijk nu jouw gesprekken lezen. Daar zit natuurlijk het probleem. Niet iedereen zal bots toevoegen die in hun beheer zijn want je moet dan willen en kunnen programmeren.

EraYaN @Anoniem: 16328 • 23 juli 2015 17:09

Nee dat is dus niet waar.

Als jij hem die rechten niet geeft kan dat niet, dat is gewoon angst zaaien.

Dit verhaal gaat sowieso nergens over. Als de beheerder van de groep het toch al niet zo nauw neemt kan ie sowieso wel alle berichten publiceren als ie dat wil.

sjameasypoo @Nogne • 23 juli 2015 15:52

Als ze meteen hadden gereageerd zouden ze het probleem niet serieus nemen. Het lijkt mij dat als je een probleem serieus neemt, dat je er eerst binnen de organisatie over wil praten, in plaats van dat de eerste de beste maar wat uitkraamt.

Lightmanone1984 @TimDJ • 23 juli 2015 14:36

Het feit dat kwaadwillende het op dit moment misbruiken is waarschijnelijk ook de reden dat T.net dit rapporteerd zodat je, totdat het is opgelost tenminste niet ongemerkt bots toegang geeft tot berichten.

/ontopic:
Wow, dit is best wel een groot lek eerlijk gezegd. Soms zit (zulke) code in zo'n klein hoekje verstopt.

Tozz @Lightmanone1984 • 23 juli 2015 14:58

Dit lek valt wel mee IMHO. Je moet een bot zelf al toegevoegd hebben in een group. Het is niet zo dat elke bot zomaar elke group chat mee kan lezen.

Ik wist eignelijk niet dat een Bot niet alle berichten in een group kan lezen waarin de bot is toegevoegd.

roy-t @Lightmanone1984 • 23 juli 2015 15:06

Groot lek? Een persoon die meedoet aan het gesprek kan een bot toevoegen die alles kan zien in het gesprek. Als je de persoon vertrouwt met jouw berichten, waarom vertrouw je dan niet dat die persoon niets geks doet met bots? Ook hebben alle bots standaard geen toegang tot normale berichten.

Wat me niet duidelijk is, is of iemand van buiten het gesprek de bot kan misbruiken.

[Reactie gewijzigd door roy-t op 22 juli 2024 17:26]

Tukkertje-RaH @roy-t • 23 juli 2015 15:32

Dat blijkt dus niet te hoeven: Ricmaniac geeft aan dat je binnen een groepsgepsrekken ook bots van niet-deelnemers kan gebruiken. Dat kan heel handig zijn om (Ricmaniac's voorbeelden) het weer op een locatie op te vragen bijvoorbeeld.

Als die bots dus niet beheerd worden door de personen in de chat (maar van buitenaf worden geladen) dan is het wel degelijk een serieus lek dat deze zonder waarschuwing vooraf dus mee kunnen lezen met wat er in die chat gebeurt.

Op https://core.telegram.org/bots is een overzicht van bots te vinden die (over het algemeen) niet door de deelnemers van een groepsgesprek worden beheerd: GitHub Bot, Image Bot, Pollbot, Trivia Bot, etc.

roy-t @Tukkertje-RaH • 23 juli 2015 15:44

In de tijd van IRC draaide je dan je eigen instantie van de Github bot. Is dat in dit geval ook zo? Of is er 1 Github bot die voor alle groepsgesprekken dezelfde instellingen heeft? Dat kan toch bijna niet?

ATS @roy-t • 23 juli 2015 17:31

IRC is nog altijd alive & kicking. En ja, bots komen daar veel voor. Heel handig in dev kanalen waar een issuenumber in de chat direct leidt tot een samenvatting en een link. Of een verwijzing naar de docs direct gemaakt kan worden.

repmeer @TimDJ • 23 juli 2015 15:37

Er is net een update beschikbaar gekomen. Wellicht dat het daarin opgelost is.

Tozz @repmeer • 24 juli 2015 14:51

Dat lijkt me niet. Dit is een server side issue, dat in de Telegram servers opgelost moet worden. Heeft met de client niets van doen.

Anoniem: 382732 @TimDJ • 23 juli 2015 21:13

Zou je ook zo hebben gereageerd als het bij Whatsapp of een andere grote app het geval was?

TimDJ @Anoniem: 382732 • 23 juli 2015 21:28

Ja? Elke veiligheidsfout moet je eerst gelegenheid geven om te repareren of zelf te communiceren. Tenzij het al misbruikt wordt.

mOrPhie 23 juli 2015 15:31

Hoe lang heeft tweakers gewacht op een reactie op de onderzoeksresultaten?

Auteur

Joost @mOrPhie • 23 juli 2015 16:04

Twee uur.

mOrPhie @Joost • 23 juli 2015 16:32

Gezien dit onderzoeksjournalistiek betreft, vind ik twee uur echt veel te weinig. Twee uur wachten komt mij niet over als een propere poging tot wederhoor. Het komt daarom op mij over alsof Tweakers (of jij als auteur) om wille van de scoop de kans op wederhoor heeft laten liggen. Dat is natuurlijk extra van belang, omdat je zelf de gehoorde partij bent.

Jammer, want ik vind dat jullie redactioneel erg vooruit zijn gegaan de afgelopen jaren en ik vind het bewonderenswaardig dat er onderzoeksjournalistiek wordt verricht, maar dit vind ik daar een slecht voorbeeld van.

Auteur

Joost @mOrPhie • 23 juli 2015 18:57

Gezien dit onderzoeksjournalistiek betreft, vind ik twee uur echt veel te weinig. Twee uur wachten komt mij niet over als een propere poging tot wederhoor. Het komt daarom op mij over alsof Tweakers (of jij als auteur) om wille van de scoop de kans op wederhoor heeft laten liggen. Dat is natuurlijk extra van belang, omdat je zelf de gehoorde partij bent.

Jammer, want ik vind dat jullie redactioneel erg vooruit zijn gegaan de afgelopen jaren en ik vind het bewonderenswaardig dat er onderzoeksjournalistiek wordt verricht, maar dit vind ik daar een slecht voorbeeld van.

Het is een afweging. En wij merken dat als er binnen 1 à 2 uur geen reactie komt, het een kwestie van dagen is. En zo lang wilden wij niet wachten.

Let wel, als dit een groot beveiligingsprobleem in Telegram was geweest, hadden we dit nooit gebracht zonder dat we Telegram de tijd hadden gegeven om het probleem op te lossen. Het gaat echter om een probleem dat relatief simpel op te lossen is: geen bots in je groep toevoegen (of regelmatig checken hoeveel toegang ze hebben).

Wat overigens onverlet laat dat we het liefst altijd meteen een reactie van bedrijf in kwestie hebben. In dit geval vond ik het echter geen dealbreaker.

Anoniem: 673877 @Joost • 23 juli 2015 19:58

ooit gedacht aan tijd zones?? als jij om 11 uur smorgens naar los angeles maild liggen die mensen nog in bed...mag ik hopen voor ze!!

BeefHazard @Anoniem: 673877 • 24 juli 2015 00:17

Telegram opereert uit Duitsland.

mOrPhie @Joost • 23 juli 2015 21:08

Het is een afweging. En wij merken dat als er binnen 1 à 2 uur geen reactie komt, het een kwestie van dagen is. En zo lang wilden wij niet wachten.

Waarom niet?

GuruMeditation @mOrPhie • 23 juli 2015 16:43

De gene die verantwoording af zou moeten leggen, kan in een vergadering zijn, of onderweg ergens naar toe.

Verder wil je als bedrijf ook wel je verhaal zo goed mogelijk overbrengen, dit moet ook even overlegd worden, en wellicht willen ze eerst zelf een (klein) onderzoek(je) doen.

Juist bij dit soort failures... je wilt niet onnodig paniek zaaien, of verkeerde woorden uit je laten trekken. Twee uur is inderdaad heel erg kort.

RobinJ1995

@Joost • 23 juli 2015 17:56

Dat is... niet gek lang. Alleen al als de persoon die dat soort vragen beantwoord zich in een andere tijdzone bevindt ziet hij dat bericht pas 8 (of meer) uur later.

Anoniem: 16328 @RobinJ1995 • 23 juli 2015 17:59

Telegram HQ zit in Duitsland.

RobinJ1995

@Anoniem: 16328 • 23 juli 2015 18:01

Ik betwijfel of ze een effectief fysiek hoofdkantoor hebben. Ook lijkt de kerel op wiens account de Github repository zit russisch te zijn.

SinergyX 23 juli 2015 14:34

Maar waarom zou je in een gesprek gaan zitten met een bot erbij? Wat bied hij als toegevoegde waarde buiten een plaatje ophalen of een poll maken?

Helsie @SinergyX • 23 juli 2015 14:41

Juist, dat bedoel ik dus. Als je al een bot toevoegt, neem ik aan dat je je eigen bot toevoegt. Vreemde bots niet vertrouwen, net als op IRC.

dtech @SinergyX • 23 juli 2015 14:55

Een concreet nuttig/grappig voorbeeld, iemand die ik ken heeft een bot gemaakt voor hun huis-telegram. De bot houdt bijvoorbeeld bij wie er mee-eet, slaat quotes op en kan die teruggeven, wie wie nog geld schuldig is en kan het koffiezetapparaat aanzetten.

Orthodroom 23 juli 2015 17:13

Er staat nu een update klaar in de Appstore. Lost die dit op of is die toevallig vandaag uitgebracht?

Tozz @Orthodroom • 24 juli 2015 14:53

Dit is een server side issue. De server moet berichtendie niet geprefixed zijn met een / niet doorsturen naar bots, of het moet de gespreksdeelnemers informeren over het feit dat de bot kan meelezen.

Dit is geen issue dat in de client opgelost kan worden, dus deze update in de store zal hier niets mee te maken hebben.

Helsie 23 juli 2015 14:32

Ok, maar is het niet verstandiger om daar sowieso vanuit te gaan als iets of iemand in de groep zit? ;-)

Kaastosti 23 juli 2015 14:38

Je moet hiervoor natuurlijk nog wel eerst een bot toelaten in de groep. En er vervolgens van uitgaan dat die alles gewoon kan lezen, zoals Helsie al zegt lijkt me dat een prima standaard insteek.

Wat je anders overal op client niveau bij zou moeten houden is welke instellingen er afgegeven zijn door de bot. En als die wijzigen meteen iedereen op de hoogte stellen.

Jaahp 23 juli 2015 15:04

Dit is dan alleen een probleem als:
1. Er een bot in de chat zit (toegevoegd door een betrouwbare groepsdeelnemer), die niet te vertrouwen is
2. De beheerder wel te vertrouwen is
3. De beheerder deze optie omzet zonder de groep in te lichten
4. Iemand uit de groep gevoelige informatie deelt onder de aanname dat de bot niet kan zien

Het lijkt me zelf niet zo'n grote issue, ik heb zelf echter al een tijdje een bot draaien die gewoon "een persoon" is, en überhaupt alles al kan meelezen. Er staat echter technischerwijs niets in de weg om mijn eigen account door die bot te laten gebruiken.

Anoniem: 344663 23 juli 2015 16:06

Ik gebruik Telegram sinds de dag dat FB whatsapp overnam en moet zeggen dat ik het een stuk beter vind dan whatsapp mits je genoeg vrienden weet mee te krijgen naar de nieuwe app want daar zit meestal het probleem voor veel mensen.

Dacuuu 23 juli 2015 16:21

Zelf gebruik ik Telegram en Whatsapp. Whatsapp voor de massa, en Telegram voor een stel mensen die ook graag Telegram gebruiken, Het o zo grote voordeel van Telegram: De Windows/Linux cliënt! Typen achter de pc of laptop is zo gebruikersvriendelijker!

Ik heb geen Bots in een gesprek met andere mensen, ik heb alleen 2 gesprekken met alleen bots.
"RateStickerBot", Bij deze bot krijg je stickers te zien, en het setje stickers wat je leuk vind kan je dan toevoegen aan je Telegram.
En de "TriviaBot" voor een spelletje Mmultiple choice trivia vragen, erg leuk!

Je kan ook je eigen bot maken, de mogelijkheden zijn eindeloos dus..

SampleUser 23 juli 2015 16:25

Wij hebben een telegram groep op de hackerspace, en daar staat ook een chatbot op die alles logt en naar een webinterface stuurt. Mocht iemand iets verkeerds zeggen staat dat op die interface voor max 1 maand

. Dus nu maar niet hopen dat alleen maar commands worden doorgestuurd...

[Reactie gewijzigd door SampleUser op 22 juli 2024 17:26]

Op dit item kan niet meer gereageerd worden.

Telegram-bots kunnen relatief ongemerkt meelezen in groepsgesprekken - update

Lees meer

IT-banen

Reacties (88)

Sorteer op:

Weergave: