Un nuovo bug telegramma è stato recentemente scoperto che le perdite gli indirizzi IP pubblici dei chiamanti. Sembra che la ragione di questo è un'opzione configurazioni predefinite che è stato trovato per causare il problema.
CVE-2.018-17.780: Gravi Telegram Bug Trovato: Le chiamate Leak indirizzi IP di default
Un nuovo rapporto di sicurezza rivela che il popolare Telegram messenger applicazione contiene una vulnerabilità. La caratteristica interessante è che non si basa su codice cattivo, ma dal modo in cui le impostazioni di default sono modellati. Il bug telegramma di per sé è causato dalla funzione di chiamate vocali, le opzioni di default sono per realizzarle attraverso la rete peer-to-peer. L'analisi di questa funzione mostra che l'indirizzo IP dell'utente iniziare la chiamata sarà registrata nei log della console Telegram. Ciò significa che tutti i client di avere questa funzione può leggere l'indirizzo IP del rispettivo interlocutore. È interessante notare che non tutti i clienti hanno un telegramma log della console.
Tuttavia c'è un modo per risolvere il problema modificando le opzioni predefinite: Gli utenti hanno bisogno di accedere alla “Impostazioni” pagina, aprendo la “Private e Sicurezza” linguetta, poi al “Chiamate vocali” sezione e modificando il “Peer to peer” opzione per “Mai”. Ciò reindirizzare thte chiamate attraverso il server telegramma che nascondono automaticamente gli indirizzi IP e i messaggi di log.
Una dimostrazione proof-of-concept è già stato registrato per verificare il problema. A seguito della comunicazione per il team di sicurezza Telegramma del CVE-2.018-17.780 advisory è stato assegnato ad esso. Il ricercatore che ha segnalato la vulnerabilità è stato assegnato una taglia bug di € 2.000. La descrizione associata del bug legge la seguente:
telegramma Desktop (aka tdesktop) 1.3.14, e Telegram 3.3.0.0 WP8.1 su Windows, perdite per l'utente finale pubbliche e gli indirizzi IP privati durante una chiamata a causa di un comportamento predefinito non sicuro in cui le connessioni P2P sono accettate dai clienti al di fuori della mia lista contatti.
Il bug telegramma è stato risolto negli aggiornamenti rilasciati con il 1.3.17beta e 1.4.0 uscite per l'applicazione desktop. Essi includono ora un'impostazione per disabilitare le chiamate P2P. Una risposta da parte del team di sviluppo di telegramma dice che il problema è stato durante il processo di accesso. Dopo aver ricevuto la notizia del problema hanno rilasciato gli aggiornamenti adeguati e hanno fissato il modo in cui il servizio gestisce le richieste di chiamata vocale quando vengono impostate le opzioni necessarie.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: