Telegram Messenger 私密通讯 app 可允许用户和其他人通过互联网创建加密聊天记录并拨打电话。然而,研究人员在其默认配置中发现,当用户拨打电话时,其 IP 地址可能遭泄露。

这个问题是由 Telegram 中的一个默认设置引发的,该设置使得可通过 P2P 拨打语音电话。然而,当使用 P2P 拨打 Telegram 电话时,通话方的 IP 地址将会出现在 Telegram 的控制台日志中。并非所有版本均包含控制台日志。例如,Windows 并不会在测试中显示控制台日志,而 Linux 版本则会显示。

Telegram app 确实提示用户可通过更改设置的方式(将Settings -> Private and Security -> Voice Calls -> Peer-To-Peer更改为 Never 或 Nobody)阻止 IP 地址遭泄漏。这样做会导致用户的通话经由 Telegram 的服务器路由,从而隐藏 IP 地址,但代价是音频质量有所下降。

问题是,当用户能够在 iOS 和安卓中禁用 P2P 通话和相关的 IP 地址泄漏时,安全研究员 Dhiraj 发现官方的桌面版 Telegram (tdesktop) 和 Telegram Messenger(Windows版本)应用程序并无法禁用 P2P 通话。

也就是说,这些用户的 IP 地址将会遭泄漏,不管他们是否通过 Telegram 拨打电话。例如,Ubuntu 上的桌面版 Telegram 将会在控制台上泄漏 IP 地址。

Dhiraj 在 PoC 视频中展示了三种 IP 地址的泄漏,即 Telegram 服务器 IP(并无大碍)、自己的 IP 地址(这个甚至也可以接受)以及终端用户 IP (无法接受)。

Dhiraj 将该问题告知 Telegram 公司,并得到2000欧元的奖励,且其漏洞报告的编号是 CVE-2018-17780。

该问题已在 Telegram 桌面版 1.3.17 beta 和 1.4.0 版本中修复,都是通过禁用所添加的 P2P 通话设置实现的。

为何在安全和隐私方面自诩的 Telegram 应用会在明知道默认启用 P2P 通话会泄露 IP 地址的情况下仍然这样做呢?Dhiraj 表示 Telegram 公司并未对此作出任何解释。

原文来自:http://www.codesafe.cn/index.php?r=news/detail&id=4485

本文地址:https://www.linuxprobe.com/telegram-leaking-ip.html编辑:薛鹏旭,审核员:逄增宝