研究人员已经证明,在默认配置中,Telegram 在拨打电话时会泄露用户的 IP 地址。这里是详细介绍
我们曾经表示了不信任 Telegram(在这里看到详细说明,还有我们推荐的可信应用),该程序将自己描述为一个安全的私人通信应用程序,但现在研究人员已经证明,在默认配置中,在拨打电话时它会泄露用户的 IP 地址。
这是由 Telegram 中的默认设置引起的,其语音呼叫通过 P2P 进行。但是,当使用 P2P 发起 Telegram 呼叫时,通话另一方的 IP 地址将显示在 Telegram 控制台日志中。并非所有版本都包含控制台日志。例如,在我们的测试中 Windows 版本不显示控制台日志,而 Linux 版本则显示。
Telegram 应用程序确实表明用户可以通过更改 Settings -> Private and Security -> Voice Calls -> Peer-To-Peer 为 Never 或 Nobody 来阻止他们的IP地址被泄露。执行此操作将导致用户的呼叫通过 Telegram 的服务器进行路由,这将隐藏 IP 地址,但代价是音频质量会下降。
问题是,虽然可以在 iOS 和 Android 中禁用 P2P 呼叫和相关的 IP 地址泄漏,但安全研究人员 Dhiraj 发现官方的 Telegram for Desktop(tdesktop)和 Telegram Messenger for Windows 应用程序无法禁用 P2P 通话。
这意味着只要用户使用 Telegram 拨打电话,这些用户的IP地址就会泄露。 可以在 Ubuntu 上看到 Telegram for Desktop 控制台中泄露的 IP 地址示例。
在与 Dhiraj 的对话中,研究人员与 BleepingComputer 分享了一个 PoC 视频,说明了 IP 地址是如何泄露的。
Dhiraj 解释道,
在我的视频 PoC 中可以看到3个IP泄漏:1.Telegram 服务器 IP。2.你自己的 IP。3.最终用户的 IP。
在向 Telegram 警告有关 Telegram for Desktop 和 Telegram for Windows 缺失该设置后,Dhiraj 获得了 2,000 欧元的奖金,他的报告漏洞被分配了ID号 CVE-2018-17780。
为什么 Telegram 一个以安全性和隐私为傲的应用程序,默认情况下会启用 P2P 调用?当 BleepingComputer 向 Dhiraj 询问 Telegram 是否有理由这样做时,他告诉我们“不就此事提供任何评论。”
BleepingComputer 已联系 Telegram 征求意见,但尚未收到回复。
即便能解决这个问题我们依旧不想推荐 Telegram,该应用程序在两个月前作出的隐私政策变更允许他们提供用户信息给任何怀疑其用户是“恐怖分子”的政府。如你所知,很多政府当局将他们不喜欢的反对者都称为“恐怖分子”,于是这一政策是潜在的危险因素。◾️
Comments