Ein neues Telegramm Fehler wurde vor kurzem entdeckt, die die öffentlichen IP-Adressen der Anrufer Lecks. Es scheint, dass der Grund hierfür eine Standardkonfiguration Option ist, die dieses Verhalten gefunden wurden, um zu bewirken,.
CVE-2018-17780: Ernsthafte Telegramm Fehler gefunden: Anrufe Leak IP-Adressen von Standard
Ein neuer Sicherheitsbericht zeigt, dass die beliebte Telegrammbote App eine Schwachstelle enthält. Die interessante Eigenschaft ist, dass es nicht auf schlechten Code basiert, sondern durch die Art und Weise werden die Standardeinstellungen modelliert. Das Telegramm Fehler selbst wird durch die Sprachanruf Funktion, die Standardoptionen sind sie durch das Peer-to-Peer-Netzwerk durchzuführen. Die Analyse dieser Funktion zeigt, dass die IP-Adresse des Benutzers den Anruf initiiert wird im Telegramm Konsolenprotokollen aufgezeichnet werden. Das bedeutet, dass alle Clients mit diesem Merkmal kann die IP-Adresse des jeweiligen Gesprächspartners lesen. Interessanterweise haben nicht alle Telegramm-Clients eine Konsolenprotokoll.
Allerdings gibt es eine Möglichkeit, das Problem zu beheben, indem Sie die Standardoptionen zu ändern: Der Anwender muß die navigieren “Einstellungen” Seite, Eröffnung der “Private und Sicherheit” Tab, dann auf die “Sprachanrufe” Abschnitt und Modifizieren der “Peer-To-Peer” Option “Nie”. Dies wird Umleiten thte Anrufe über den Telegramm-Server, der die IP-Adressen und die Log-Meldungen automatisch verstecken.
Eine Proof-of-Concept-Demonstration bereits gebucht wurde, das Problem zu überprüfen. Nach der Unterrichtung auf das Telegramm Sicherheitsteam der CVE-2018-17780 Beratungs wurde ihm zugewiesenen. Der Forscher, der die Verwundbarkeit berichtet hat einen Bug Bounty von 2.000 € ausgezeichnet. Die zugehörige Beschreibung des Fehlers liest die folgende:
Telegramm-Desktop (aka tdesktop) 1.3.14, und Telegramm 3.3.0.0 WP8.1 unter Windows, Lecks Endbenutzers öffentlichen und privaten IP-Adressen während eines Anrufs aufgrund eines unsicheren Standardverhalten in dem P2P-Verbindungen von Clients außerhalb der Liste Meine Kontakte akzeptiert.
Das Telegramm Fehler ist in dem veröffentlichten Updates mit dem 1.3.17beta fest und 1.4.0 Versionen für den Desktop-App. Sie umfassen jetzt eine Einstellung, die P2P-Anrufe deaktivieren. Eine Antwort von dem Entwicklungsteam bei Telegramm sagt, dass das Thema während des Anmeldevorganges war. Nach dem Empfang Nachrichten des Problems veröffentlichte sie geeignetes Updates und hat die Art und Weise der Dienst verarbeitet Sprachanrufanforderungen festgelegt, wenn die erforderlichen Optionen eingestellt sind.