Не такий безпечний: У Telegram виявили серйозну вразливість

Через неуважних розробників десктопні версії для Windows, Mac і Linux месенджера Telegram розкривали IP-адреси користувачів в процесі голосових дзвінків.

У звичайних обставинах функція голосових дзвінків Telegram за замовчуванням встановлює пряме P2P-з’єднання між двома користувачами, при якому обмін пакетами здійснюється безпосередньо між ними. Пірінгове з’єднання не є конфіденційним, оскільки розкриває IP-адреси учасників процесу. Тобто, Telegram завжди розкриває IP-адресу користувача людям в контактному списку.

З метою забезпечення анонімності інженери Telegram додали механізм маскування IP-адрес – опцію “Nobody”, яка забороняє ініціювати пірінгові з’єднання при здійсненні дзвінків. Проблема полягає в тому, що дана функція присутня тільки в мобільній версії месенджера і не поширюється на десктопну.

Вразливість, виявлена дослідником Дхіраєм Мішра (Dhiraj Mishra), отримала ідентифікатор CVE-2018-17780 і вже виправлена з виходом десктопних версій Telegram 1.4.0 і 1.3.17 beta, в яких розробники додали опцію “Nobody” в налаштування. За інформацію про уразливість компанія виплатила фахівцю нагороду в розмірі $2 тис.

P2P (peer-to-peer), також відомі як однорангові, децентралізовані або пірінгові мережі. Вузли мають однакові привілеї в додатку і утворюють мережу рівносильних вузлів.