Telegram爆出漏洞 語音呼叫即可洩露使用者IP地址

Editor發表於2018-10-01

Telegram 發現漏洞


Telegram Messenger是一款通訊應用程式,你可以通過Internet與其他使用者建立加密聊天和電話呼叫。該程式被描述為一個安全的私人通訊應用程式,但研究人員已經證明,在預設配置中,它允許使用者的IP地址在撥打電話時洩露。


Telegram爆出漏洞 語音呼叫即可洩露使用者IP地址



這是由Telegram的預設設定引起的,這會導致語音呼叫通過P2P進行。但是,當使用P2P發起Telegram呼叫時,通話人的IP地址將顯示在Telegram控制檯日誌中。


但是,並非所有版本都包含控制檯日誌。例如,Windows在測試中不顯示控制檯日誌,而Linux版本則顯示。


Telegram應用程式確實表明使用者可以通過更改設定 - >隱私與安全 - >語音呼叫 - >Peer to Peer到Never或Nobody的設定來阻止IP地址被洩露。但是執行此操作使使用者的呼叫通過Telegram的伺服器傳送,IP地址被隱藏,會導致音訊質量略有下降。


Telegram爆出漏洞 語音呼叫即可洩露使用者IP地址

(iOS版本的P2P設定)

雖然使用者可以在iOS和Android中通過禁用P2P呼叫,來防止相關的IP地址洩漏,但安全研究員Dhiraj Mishra卻發現官方的Telegram for Desktop(tdesktop)和Telegram Messenger for Windows應用程式無法禁用P2P通話。他還表示,Windows,Mac和Linux的Telegram桌面客戶端會洩露使用者的IP地址,洩漏只發生在語音通話中。


這意味著只要使用者使用Telegram撥打電話,這些使用者的IP地址就會洩露。


在Ubuntu上可以看到Telegram for Desktop控制檯中洩露的IP地址示例:


Telegram爆出漏洞 語音呼叫即可洩露使用者IP地址


(Telegram控制檯日誌中的IP地址洩漏)


Dhiraj分享了一個概念證明視訊,說明了IP地址是如何洩露的,他表示:


如果你在我的視訊PoC中看到有3個IP洩漏:


1、Telegram 伺服器IP(沒關係)


2、你自己的IP(即使那也沒關係)


3、終端使用者IP(那不行)


Telegram 修復漏洞


Telegram通過在其桌面客戶端設定中新增Nobody選項修復了該問題,併為Dhiraj的報告獎勵了2,000歐元。 IP洩漏收到CVE-2018-17780漏洞識別符號。


此問題已在1.3.17測試版和1.4.0版本的Telegram for Desktop中得到修復,其中有一個設定可以禁用新增到程式中的P2P呼叫。


Telegram爆出漏洞 語音呼叫即可洩露使用者IP地址

(Telegram 原始碼更改)



總結


在Telegram Messenger中,導致IP洩露的預設設定是一個危險的錯誤。特別是對於利用Telegram保護其隱私和匿名功能的使用者(例如記者,持不同政見者或人權鬥士)。


類似的事件,在2016年夏天,一個伊朗國家贊助的黑客組織濫用Telegram應用程式中的漏洞來識別在該平臺上註冊帳戶超過1500萬伊朗人的電話號碼,有效地將他們的Telegram使用者名稱繫結到他們的電話號碼和現實生活形象。


而這次的IP洩漏可能會產生類似的隱私破壞後果。




參考來源:

  • ZDNet
  • bleepingcomputer



更多閱讀:


1、祖克伯 Facebook賬號又要被黑?臺灣天才駭客張啟元欲直播刪號過程


2、Uber 支付1.48億美元和解金,就資料洩露事件達成和解


3、高通與Apple 反目成仇,英特爾坐收漁利?


4、Chrome資訊自動同步谷歌?谷歌同意關閉此功能

相關文章