Telegram爆出漏洞 語音呼叫即可洩露使用者IP地址

Telegram Messenger是一款通訊應用程式，你可以通過Internet與其他使用者建立加密聊天和電話呼叫。該程式被描述為一個安全的私人通訊應用程式，但研究人員已經證明，在預設配置中，它允許使用者的IP地址在撥打電話時洩露。

這是由Telegram的預設設定引起的，這會導致語音呼叫通過P2P進行。但是，當使用P2P發起Telegram呼叫時，通話人的IP地址將顯示在Telegram控制檯日誌中。

但是，並非所有版本都包含控制檯日誌。例如，Windows在測試中不顯示控制檯日誌，而Linux版本則顯示。

Telegram應用程式確實表明使用者可以通過更改設定 - >隱私與安全 - >語音呼叫 - >Peer to Peer到Never或Nobody的設定來阻止IP地址被洩露。但是執行此操作使使用者的呼叫通過Telegram的伺服器傳送，IP地址被隱藏，會導致音訊質量略有下降。

雖然使用者可以在iOS和Android中通過禁用P2P呼叫，來防止相關的IP地址洩漏，但安全研究員Dhiraj Mishra卻發現官方的Telegram for Desktop（tdesktop）和Telegram Messenger for Windows應用程式無法禁用P2P通話。他還表示，Windows，Mac和Linux的Telegram桌面客戶端會洩露使用者的IP地址，洩漏只發生在語音通話中。

這意味著只要使用者使用Telegram撥打電話，這些使用者的IP地址就會洩露。

在Ubuntu上可以看到Telegram for Desktop控制檯中洩露的IP地址示例：

（Telegram控制檯日誌中的IP地址洩漏）

Dhiraj分享了一個概念證明視訊，說明了IP地址是如何洩露的，他表示：

如果你在我的視訊PoC中看到有3個IP洩漏：

1、Telegram 伺服器IP（沒關係）

2、你自己的IP（即使那也沒關係）

3、終端使用者IP（那不行）

Telegram 修復漏洞

Telegram通過在其桌面客戶端設定中新增Nobody選項修復了該問題，併為Dhiraj的報告獎勵了2,000歐元。 IP洩漏收到CVE-2018-17780漏洞識別符號。

此問題已在1.3.17測試版和1.4.0版本的Telegram for Desktop中得到修復，其中有一個設定可以禁用新增到程式中的P2P呼叫。

（Telegram 原始碼更改）

總結

在Telegram Messenger中，導致IP洩露的預設設定是一個危險的錯誤。特別是對於利用Telegram保護其隱私和匿名功能的使用者（例如記者，持不同政見者或人權鬥士）。

類似的事件，在2016年夏天，一個伊朗國家贊助的黑客組織濫用Telegram應用程式中的漏洞來識別在該平臺上註冊帳戶超過1500萬伊朗人的電話號碼，有效地將他們的Telegram使用者名稱繫結到他們的電話號碼和現實生活形象。

而這次的IP洩漏可能會產生類似的隱私破壞後果。

參考來源：

• ZDNet
  
• bleepingcomputer
  

更多閱讀：

1、祖克伯 Facebook賬號又要被黑？臺灣天才駭客張啟元欲直播刪號過程

2、Uber 支付1.48億美元和解金，就資料洩露事件達成和解

3、高通與Apple 反目成仇，英特爾坐收漁利？

4、Chrome資訊自動同步谷歌？谷歌同意關閉此功能