Доказано: Telegram не был анонимным
01 окт 2018 18:40 #72525
от ICT
ICT создал тему: Доказано: Telegram не был анонимным
Деанонимизацияпользователей Telegram В мобильном клиенте мессенджера Telegram выявлена серьезная уязвимость,которая при определенных условиях может выдавать IP-адреса пользователей. Как установили исследователи, по умолчанию Telegramнаправляет голосовые звонки через P2P-соединения. При этом IP-адрес можетвыводиться в консоли. Правда, не все версии Telegram поддерживают консоль,например, она не видна под Windows, но вполне доступна под Linux. Эксперты выяснили, что если перенаправлять звонки черезсерверы самого Telegram, IP-адрес виден не будет. Но это потребует ручного изменениянастроек: Settings-> PrivateandSecurity-> VoiceCalls-> Peer-To-Peerна значенияNeverилиNobody, и при этомнесколько снизится качество звучания. Кроме того, отключить звонки через P2P легко удастся в iOS иAndroid, а, например, на десктопной версии Telegram под Windows это оказываетсяневозможным.
Утечка IP-адреса пользователя Telegram версии для PC на базе Ubuntu Linux Эксперт по безопасности, известный под ником Дхирадж (Dhiraj), уже получил отразработчиков Telegram вознаграждение в размере 2 тыс. евро за обнаружение этойпроблемы. Уязвимость получила индекс CVE-2018-17780. На данный моментона исправлена в версиях Telegram for Desktop 1.3.17 beta и 1.4.0; теперь тампоявилась возможность отключать P2P-вызовы. Нелепый баг Разработчики Telegram изначально утверждали, что проблема сP2P-коммуникациями нейтрализуется тем обстоятельством, что по умолчаниювыставлена опция My Contacts, ограничивающая возможность просмотра IP-адресапользователя списком его контактов. Однако позднее выяснилось, что в API Telegram содержаласьошибка, которая приводит к тому, что в течение нескольких часов послеочередного логина P2P-соединения оставались открытыми для всех. Сейчас этапроблема исправлена. «Очень странно, что разработчики Telegram допустили такое.Для приложения, которое позиционируется как защищенное, — в первую очередь, отпопыток деанонимизировать пользователя, — подобное упущение выглядит какминимум нелепо, — считает Олег Галушкин,директор по информационной безопасности компании SEC Consult Services. — Интереснои то, что разработчики Telegram так пока и не объяснили, зачем вообще былореализовывать по умолчанию P2P-соединения для звонков голосом».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.