默认设置下的 Telegram 拨打电话会泄露IP地址 - iYouPort
默认设置下的 Telegram 拨打电话会泄露IP地址
研究人员已经证明,在默认配置中,Telegram 在拨打电话时会泄露用户的 IP 地址。这里是详细介绍
我们曾经表示了不信任 Telegram( 在这里 看到详细说明,还有我们推荐的可信应用),该程序将自己描述为一个安全的私人通信应用程序,但现在研究人员已经证明,在默认配置中,在拨打电话时它会泄露用户的 IP 地址。
延伸阅读: 俄罗斯采购中国的破解加密消息应用的技术 —— 中国监视技术公司美亚柏科生产的取证魔方可检测和解码消息应用 Telegram、Skype 和 Viber 等的存档
这是由 Telegram 中的默认设置引起的,其语音呼叫通过 P2P 进行。但是,当使用 P2P 发起 Telegram 呼叫时,通话另一方的 IP 地址将显示在 Telegram 控制台日志中。并非所有版本都包含控制台日志。例如,在我们的测试中 Windows 版本不显示控制台日志,而 Linux 版本则显示。
Telegram 应用程序确实表明用户可以通过更改 Settings -> Private and Security -> Voice Calls -> Peer-To-Peer 为 Never 或 Nobody 来阻止他们的IP地址被泄露。执行此操作将导致用户的呼叫通过 Telegram 的服务器进行路由,这将隐藏 IP 地址,但代价是音频质量会下降。
问题是,虽然可以在 iOS 和 Android 中禁用 P2P 呼叫和相关的 IP 地址泄漏,但安全研究人员 Dhiraj 发现 官方的 Telegram for Desktop(tdesktop)和 Telegram Messenger for Windows 应用程序无法禁用 P2P 通话 。
这意味着只要用户使用 Telegram 拨打电话,这些用户的IP地址就会泄露。 可以在 Ubuntu 上看到 Telegram for Desktop 控制台中泄露的 IP 地址示例。
在与 Dhiraj 的对话中,研究人员与 BleepingComputer 分享了一个 PoC 视频,说明了 IP 地址是如何泄露的。
Dhiraj 解释道,
在我的视频 PoC 中可以看到3个IP泄漏:1.Telegram 服务器 IP。2.你自己的 IP。3.最终用户的 IP。
在向 Telegram 警告有关 Telegram for Desktop 和 Telegram for Windows 缺失该设置后,Dhiraj 获得了 2,000 欧元的奖金,他的报告漏洞被分配了ID号 CVE-2018-17780。
此问题已在 1.3.17 测试版和 1.4.0 版本的 Telegram for Desktop 中得到修复,其中有一个设置可以禁用添加到程序中的 P2P 调用。
为什么 Telegram 一个以安全性和隐私为傲的应用程序,默认情况下会启用 P2P 调用?当 BleepingComputer 向 Dhiraj 询问 Telegram 是否有理由这样做时,他告诉我们“不就此事提供任何评论。”
BleepingComputer 已联系 Telegram 征求意见,但尚未收到回复。
即便能解决这个问题我们依旧不想推荐 Telegram,该应用程序在两个月前 作出的隐私政策变更 允许他们提供用户信息给任何怀疑其用户是“恐怖分子”的政府。如你所知,很多政府当局将他们不喜欢的反对者都称为“恐怖分子”,于是这一政策是潜在的危险因素。
文章版权归原作者所有。