В мобильном клиенте мессенджера Telegram обнаружена серьезная уязвимость, которая при определенных условиях может выдавать IP-адреса пользователей.
По умолчанию Telegram направляет голосовые звонки через P2P-соединения. При этом IP-адрес может выводиться в консоли. Правда, не все версии Telegram поддерживают консоль, например, она не видна под Windows, но вполне доступна под Linux.
Эксперты выяснили, что если перенаправлять звонки через серверы самого Telegram, IP-адрес виден не будет. Но это потребует ручного изменения настроек: Settings -> PrivateandSecurity -> VoiceCalls -> Peer-To-Peerна значения Neverили Nobody, и при этом несколько снизится качество звучания.
Кроме того, отключить звонки через P2P легко удастся в iOS и Android, а, например, на десктопной версии Telegram под Windows это оказывается невозможным.
Утечка IP-адреса пользователя Telegram версии для PC на базе Ubuntu Linux
Эксперт по безопасности, известный под ником Дхирадж, уже получил от разработчиков Telegram вознаграждение в размере 2 тыс. евро за обнаружение этой проблемы.
Уязвимость получила индекс CVE-2018-17780. На данный момент она исправлена в версиях Telegram for Desktop 1.3.17 beta и 1.4.0; теперь там появилась возможность отключать P2P-вызовы.
Разработчики Telegram изначально утверждали, что проблема с P2P-коммуникациями нейтрализуется тем обстоятельством, что по умолчанию выставлена опция My Contacts, ограничивающая возможность просмотра IP-адреса пользователя списком его контактов.
Однако позднее выяснилось, что в API Telegram содержалась ошибка, которая приводит к тому, что в течение нескольких часов после очередного логина P2P-соединения оставались открытыми для всех. Сейчас эта проблема исправлена.
«Очень странно, что разработчики Telegram допустили такое. Для приложения, которое позиционируется как защищенное, — в первую очередь, от попыток деанонимизировать пользователя, — подобное упущение выглядит как минимум нелепо, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Интересно и то, что разработчики Telegram так пока и не объяснили, зачем вообще было реализовывать по умолчанию P2P-соединения для звонков голосом».
По словам основателя мессенджера Павла Дурова, утечка IP-адресов пользователей Telegram во время аудиовызовов коснулась менее одной десятитысячной звонков, Дуров написал в своем канале в Telegram, что версия мессенджера для компьютера, «которая используется менее чем в 0,01% вызовов Telegram, была единственной платформой, на которой эта настройка (по отключению одноранговых звонков) отсутствовала».
.png)