当前位置:安全资讯 >> 全文

用 Telegram 拨打电话?小心 IP 地址遭泄露

发布时间:2018-9-30 18:40 标签: 漏洞,Telegram
分享到 0

Telegram Messenger 私密通讯 app 可允许用户和其他人通过互联网创建加密聊天记录并拨打电话。然而,研究人员在其默认配置中发现,当用户拨打电话时,其 IP 地址可能遭泄露。

这个问题是由 Telegram 中的一个默认设置引发的,该设置使得可通过 P2P 拨打语音电话。然而,当使用 P2P 拨打 Telegram 电话时,通话方的 IP 地址将会出现在 Telegram 的控制台日志中。并非所有版本均包含控制台日志。例如,Windows 并不会在测试中显示控制台日志,而 Linux 版本则会显示。

Telegram app 确实提示用户可通过更改设置的方式(将Settings -> Private and Security -> Voice Calls -> Peer-To-Peer更改为 Never Nobody)阻止 IP 地址遭泄漏。这样做会导致用户的通话经由 Telegram 的服务器路由,从而隐藏 IP 地址,但代价是音频质量有所下降。

问题是,当用户能够在 iOS 和安卓中禁用 P2P 通话和相关的 IP 地址泄漏时,安全研究员 Dhiraj 发现官方的桌面版 Telegram (tdesktop) Telegram MessengerWindows版本)应用程序并无法禁用 P2P 通话。

也就是说,这些用户的 IP 地址将会遭泄漏,不管他们是否通过 Telegram 拨打电话。例如,Ubuntu 上的桌面版 Telegram 将会在控制台上泄漏 IP 地址。

Dhiraj PoC 视频中展示了三种 IP 地址的泄漏,即 Telegram 服务器 IP(并无大碍)、自己的 IP 地址(这个甚至也可以接受)以及终端用户 IP (无法接受)。

Dhiraj 将该问题告知 Telegram 公司,并得到2000欧元的奖励,且其漏洞报告的编号是 CVE-2018-17780

该问题已在 Telegram 桌面版 1.3.17 beta 1.4.0 版本中修复,都是通过禁用所添加的 P2P 通话设置实现的。

为何在安全和隐私方面自诩的 Telegram 应用会在明知道默认启用 P2P 通话会泄露 IP 地址的情况下仍然这样做呢?Dhiraj 表示 Telegram 公司并未对此作出任何解释。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/telegram-leaks-ip-addresses-by-default-when-initiating-calls/
参与讨论,请先 登录 | 注册

用户评论