Un nouveau bug du télégramme a été récemment découvert que les fuites les adresses IP publiques des appelants. Il semble que la raison est une configuration par défaut l'option qui a été à l'origine de ce comportement.
CVE-2018-17780: Bug grave Télégramme trouvé: Appels d'adresses par défaut de fuite Ip
Un nouveau rapport de sécurité révèle que l'application de messagerie du télégramme populaire contient une vulnérabilité. La caractéristique intéressante est qu'il ne repose pas sur le mauvais code, mais par la façon dont les paramètres par défaut sont modélisés. Le bug Télégramme par lui-même est causée par la voix appelle fonction, les options par défaut sont de les exécuter à travers le réseau peer-to-peer. L'analyse de cette fonction montre que l'adresse IP de l'utilisateur qui lance l'appel sera enregistré dans les journaux de la console Télégramme. Cela signifie que tous les clients ayant cette fonctionnalité peut lire l'adresse IP de leur partenaire respectif d'appel. Il est intéressant de tous les clients télégrammes ont un journal de la console.
Cependant, il existe un moyen de résoudre le problème en modifiant les options par défaut: Les utilisateurs ont besoin pour accéder au “Paramètres” page, l'ouverture de la “Et de sécurité privées” languette, puis à la “Appels vocaux” la modification de la section et “D'égal à égal” option “Jamais”. Cela réacheminer thte appels via le serveur Telegram qui cache automatiquement les adresses IP et les messages du journal.
Une démonstration de preuve de concept a déjà été affiché afin de vérifier la question. À la suite de la divulgation à l'équipe de sécurité du télégramme du CVE-2018-17780 consultatif a été affectée. Le chercheur qui a signalé la vulnérabilité a été attribué une prime de bug de 2000 €. La description associée du bogue lit ce qui suit:
télégramme de bureau (alias tdesktop) 1.3.14, et télégramme 3.3.0.0 WP8.1 sur Windows, les fuites adresses IP publique de l'utilisateur final et privé pendant un appel en raison d'un comportement par défaut dangereux dans lequel les connexions P2P sont acceptées des clients en dehors de la liste Mes contacts.
Le bug Télégramme a été corrigé dans les mises à jour publiées avec le 1.3.17beta et 1.4.0 de presse pour l'application de bureau. Ils comprennent maintenant un paramètre pour désactiver les appels P2P. Une réponse de l'équipe de développement au Télégramme dit que la question était au cours du processus d'ouverture de session. A la réception de nouvelles du problème, ils ont sorti des mises à jour appropriées et ont fixé la façon dont les poignées demandes de service d'appel vocaux lorsque les options nécessaires sont définies.