Een nieuwe Telegram bug is onlangs ontdekt, die het publieke IP-adressen van de bellers lekt. Het lijkt erop dat de reden hiervoor is een standaard configuraties optie die is gevonden om dit gedrag te veroorzaken.
CVE-2018-17.780: Ernstige Telegram Bug Gevonden: Oproepen Leak IP-adressen op Standaard
Een nieuwe security rapport blijkt dat de populaire Telegram Messenger-app bevat een kwetsbaarheid. Het interessante eigenschap is dat het niet is gebaseerd op slechte code, maar door de manier waarop de standaardinstellingen worden gemodelleerd. De Telegram bug door zelf wordt veroorzaakt door de gesprekken feature, de standaard opties zijn om ze uit te voeren door middel van de peer-to-peer-netwerk. De analyse van deze functie toont aan dat het IP-adres van de gebruiker het initiëren van het gesprek wordt opgenomen in de Telegram consolelogbestanden. Dit betekent dat alle client met deze functie het IP-adres van de desbetreffende gesprekspartner kan lezen. Interessant is dat niet alle Telegram klanten hebben een console-log.
Er is echter een manier om het probleem op te lossen door het veranderen van de standaard opties: De gebruikers moeten navigeren naar de “Instellingen” pagina, openen “Private en veiligheid” tab, vervolgens de “spraakoproepen” sectie en modificeren van de “Peer naar peer” optie om “Nooit”. Dit zal omleiden thte gesprekken via het Telegram server die automatisch de IP-adressen en de log berichten verbergt.
Een proof-of-concept demonstratie is al geplaatst op de kwestie controleren. Naar aanleiding van de melding aan de Telegram security team de CVE-2018-17.780 adviserend is toegewezen. De onderzoeker die de kwetsbaarheid gemeld is bekroond met een bug bounty van € 2.000. De bijbehorende beschrijving van de bug leest de volgende:
telegram Desktop (aka tdesktop) 1.3.14, en Telegram 3.3.0.0 WP8.1 op Windows, lekken eindgebruiker publieke en private IP-adressen tijdens een gesprek vanwege een onveilige standaard gedrag waarbij P2P-verbindingen van clients worden aanvaard buiten de lijst met contactpersonen My.
De Telegram bug is vastgesteld in de uitgebrachte updates met de 1.3.17beta en 1.4.0 releases voor de desktop app. Ze zijn nu een instelling om de P2P gesprekken opgeheven. Een antwoord van het ontwikkelingsteam van Telegram zegt dat de kwestie was tijdens de sign-in proces. Na ontvangst van het nieuws van het probleem brachten ze geschikt zijn updates en de manier waarop de dienst behandelt telefoongesprek verzoeken vast wanneer de noodzakelijke opties zijn ingesteld.