En ny Telegram bug er for nylig blevet opdaget, der lækker offentlige IP-adresserne på de personer, der ringer. Det fremgår, at årsagen til dette er en standard konfigurationer mulighed, som har vist sig at forårsage denne adfærd.
CVE-2018-17.780: Alvorlig Telegramlængde Bug Fundet: Opkald Leak IP-adresser efter Standard
En ny sikkerhedsrapport afslører, at den populære Telegram messenger app indeholder en sårbarhed. Det interessante kendetegn er, at det ikke er baseret på dårlig kode, men ved den måde standardindstillingerne modelleres. Telegrammet bug af sig selv er forårsaget af taleopkald funktionen, standardindstillingerne er at drive dem ud gennem peer-to-peer-netværk. Analysen af denne funktion viser, at IP-adressen på den bruger initiere opkaldet vil blive registreret i telegrammet konsol logfiler. Det betyder, at alle klient have denne funktion kan læse IP-adressen på deres respektive samtalepartner. Interessant ikke alle telegram kunder har en konsol log.
Men der er en måde at løse problemet ved at ændre standardindstillingerne: Brugerne har brug for at navigere til “Indstillinger” side, åbning af “Privat og sikkerhed” fanen, derefter til “Voice opkald” sektion og ændring af “Peer-to-Peer” mulighed for at “Aldrig”. Dette vil omdirigere thte opkald via telegrammet server, som automatisk skjule IP-adresser og logmeddelelser.
En proof-of-concept demonstration er allerede blevet sendt til at kontrollere problemet. Efter fremlæggelsen til Telegram sikkerhed hold CVE-2018-17.780 rådgivende er blevet tildelt til det. Forskeren, der rapporterede sårbarheden er blevet tildelt en bug dusør på € 2.000. Den tilhørende beskrivelse af fejlen læser følgende:
telegram Desktop (aka tdesktop) 1.3.14, og Telegram 3.3.0.0 WP8.1 på Windows, utætheder slutbrugeren offentlig og private IP-adresser under et opkald på grund af en usikker standard opførsel, hvor P2P-forbindelser er accepteret fra kunder uden for listen Mine kontaktpersoner.
Den Telegram Fejlen er rettet i de udgivne opdateringer med 1.3.17beta og 1.4.0 udgivelser til appen. De omfatter nu en indstilling til at deaktivere P2P opkald. Et svar fra udviklingsgruppen på Telegram siger, at spørgsmålet var under login-processen. Efter modtagelse af nyheden om det problem, de udgivet egnede opdateringer og har faste den måde tjenesten håndterer anmodninger voice call, når de nødvendige indstillinger er sat.