Un nuevo error de telegrama se ha descubierto recientemente que se escapa de las direcciones IP públicas de las personas que llaman. Parece ser que la razón de esto es una opción de configuraciones por defecto que se ha encontrado para causar este comportamiento.
CVE-2018 hasta 17780: Serious Bug Telegram Encontrado: Las llamadas de fugas en direcciones IP por defecto
Un nuevo informe de seguridad revela que la popular aplicación de mensajería Telegrama contiene una vulnerabilidad. La característica interesante es que no se basa en el código malo, sino por la forma en la configuración predeterminada se modelan. El error de telegrama por sí mismo es causado por la función de llamadas de voz, las opciones por defecto son para llevarlas a cabo a través de la red peer-to-peer. El análisis de esta función muestra que la dirección IP del usuario que inicia la llamada se registra en los registros de la consola de telegrama. Esto significa que todos los clientes que tienen esta característica puede leer la dirección IP de su respectivo interlocutor. Es interesante que no todos los clientes tienen un telegrama registro de la consola.
Sin embargo hay una manera de solucionar el problema cambiando las opciones predeterminadas: Los usuarios necesitan para navegar a la “Ajustes” página, la apertura de la “Privado y de Seguridad” lengüeta, luego a la “Llamadas de voz” sección y la modificación de la “De igual a igual” opción de “Nunca”. Esto reencaminar thte llamadas a través del servidor de telegrama que ocultar automáticamente las direcciones IP y los mensajes de registro.
Una demostración de prueba de concepto ya ha sido publicado para verificar la cuestión. Tras la comunicación con el equipo de seguridad del telegrama CVE-2018 hasta 17780 asesoramiento ha sido asignado a él. El investigador informó que la vulnerabilidad ha sido galardonado con una recompensa de error de 2.000 €. La descripción asociada del error lee el siguiente:
telegrama de escritorio (tdesktop también conocido como) 1.3.14, y Telegrama 3.3.0.0 WP8.1 en Windows, pública fugas del usuario final y direcciones IP privadas durante una llamada a causa de un comportamiento por defecto peligroso en el que se aceptan conexiones P2P de clientes fuera de la lista Mis Contactos.
El error del telegrama se ha corregido en las actualizaciones publicadas con el 1.3.17beta y 1.4.0 lanzamientos para la aplicación de Escritorio. Ahora se incluyen una opción para desactivar las llamadas P2P. Una respuesta por parte del equipo de desarrollo de telegrama dice que la cuestión durante el proceso de inicio de sesión. Al recibir la noticia del problema lanzaron actualizaciones adecuadas y se fija la forma en que el servicio gestiona las peticiones de llamadas de voz cuando se configuran las opciones necesarias.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: