查看原文
其他

用 Telegram 拨打电话?小心 IP 地址遭泄漏

Lawrence Abrams 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

Telegram Messenger 私密通讯 app 可允许用户和其他人通过互联网创建加密聊天记录并拨打电话。然而,研究人员在其默认配置中发现,当用户拨打电话时,其 IP 地址可能遭泄漏。

这个问题是由 Telegram 中的一个默认设置引发的,该设置使得可通过 P2P 拨打语音电话。然而,当使用 P2P 拨打 Telegram 电话时,通话方的 IP 地址将会出现在 Telegram 的控制台日志中。并非所有版本均包含控制台日志。例如,Windows 并不会在测试中显示控制台日志,而 Linux 版本则会显示。

Telegram app 确实提示用户可通过更改设置的方式(将Settings -> Private and Security -> Voice Calls -> Peer-To-Peer更改为 Never 或 Nobody)阻止 IP 地址遭泄漏。这样做会导致用户的通话经由 Telegram 的服务器路由,从而隐藏 IP 地址,但代价是音频质量有所下降。

(iOS 版本的 P2P 设置)

问题是,当用户能够在 iOS 和安卓中禁用 P2P 通话和相关的 IP 地址泄漏时,安全研究员 Dhiraj 发现官方的桌面版 Telegram (tdesktop) 和 Telegram Messenger(Windows版本)应用程序并无法禁用 P2P 通话。

也就是说,这些用户的 IP 地址将会遭泄漏,不管他们是否通过 Telegram 拨打电话。例如,Ubuntu 上的桌面版 Telegram 将会在控制台上泄漏 IP 地址。

(IP 地址遭泄漏)

Dhiraj 在 PoC 视频中展示了三种 IP 地址的泄漏,即 Telegram 服务器 IP(并无大碍)、自己的 IP 地址(这个甚至也可以接受)以及终端用户 IP (无法接受)。

Dhiraj 将该问题告知 Telegram 公司,并得到2000欧元的奖励,且其漏洞报告的编号是 CVE-2018-17780。

该问题已在 Telegram 桌面版 1.3.17 beta 和 1.4.0 版本中修复,都是通过禁用所添加的 P2P 通话设置实现的。

(Telegram 源码变化)

为何在安全和隐私方面自诩的 Telegram 应用会在明知道默认启用 P2P 通话会泄漏 IP 地址的情况下仍然这样做呢?Dhiraj 表示 Telegram 公司并未对此作出任何解释。



推荐阅读

Telegram 被判必须将密钥交给俄罗斯联邦安全局

如何利用一张图片入侵WhatsApp和Telegram账户


原文链接

https://www.bleepingcomputer.com/news/security/telegram-leaks-ip-addresses-by-default-when-initiating-calls/


本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存