Telegram Messenger 私密通訊 app 可允許用戶和其他人通過互聯網創建加密聊天記錄并撥打電話。然而,研究人員在其默認配置中發現,當用戶撥打電話時,其 IP 地址可能遭泄露。

這個問題是由 Telegram 中的一個默認設置引發的,該設置使得可通過 P2P 撥打語音電話。然而,當使用 P2P 撥打 Telegram 電話時,通話方的 IP 地址將會出現在 Telegram 的控制臺日志中。并非所有版本均包含控制臺日志。例如,Windows 并不會在測試中顯示控制臺日志,而 Linux 版本則會顯示。

Telegram app 確實提示用戶可通過更改設置的方式(將Settings -> Private and Security -> Voice Calls -> Peer-To-Peer更改為 Never 或 Nobody)阻止 IP 地址遭泄漏。這樣做會導致用戶的通話經由 Telegram 的服務器路由,從而隱藏 IP 地址,但代價是音頻質量有所下降。

問題是,當用戶能夠在 iOS 和安卓中禁用 P2P 通話和相關的 IP 地址泄漏時,安全研究員 Dhiraj 發現官方的桌面版 Telegram (tdesktop) 和 Telegram Messenger(Windows版本)應用程序并無法禁用 P2P 通話。

也就是說,這些用戶的 IP 地址將會遭泄漏,不管他們是否通過 Telegram 撥打電話。例如,Ubuntu 上的桌面版 Telegram 將會在控制臺上泄漏 IP 地址。

Dhiraj 在 PoC 視頻中展示了三種 IP 地址的泄漏,即 Telegram 服務器 IP(并無大礙)、自己的 IP 地址(這個甚至也可以接受)以及終端用戶 IP (無法接受)。

Dhiraj 將該問題告知 Telegram 公司,并得到2000歐元的獎勵,且其漏洞報告的編號是 CVE-2018-17780。

該問題已在 Telegram 桌面版 1.3.17 beta 和 1.4.0 版本中修復,都是通過禁用所添加的 P2P 通話設置實現的。

為何在安全和隱私方面自詡的 Telegram 應用會在明知道默認啟用 P2P 通話會泄露 IP 地址的情況下仍然這樣做呢?Dhiraj 表示 Telegram 公司并未對此作出任何解釋。

原文來自:http://www.codesafe.cn/index.php?r=news/detail&id=4485

本文地址:http://www.9500870.com/telegram-leaking-ip.html編輯:薛鵬旭,審核員:逄增寶