Nul
Billede: Dhiraj Lige Mishra
Telegram brugere, der specifikt udnytter ansøgningen om sin anonymitet har anbefales at opdatere deres desktop klienter så hurtigt som muligt at lappe en fejl, der vil lække deres IP-adresse, der i nogle scenarier.
Fejlen blev fundet af dhiraj lige Mishra, en bug hunter fra Mumbai, Indien, og blev lappet sammen af Telegram med udgivelser af Telegram til Desktop-v1.4.0 og v1.3.17 beta.
Mishra fortalte ZDNet, at han opdagede, at der under visse betingelser, Telegram desktop klienter til Windows, Mac, og Linux ville afsløre brugernes IP-adresse, selv når klienten er konfigureret til at beskytte disse oplysninger.
Også: Telegram begynder at spille flot med sikkerhed agenturer i brugerens data, men ikke i Rusland
Lækagen, Mishra sagde, skete det kun under taleopkald, og opstod, selv når “Peer-to-Peer” connection type blev sat til at “Ingen.” Dette er en big deal, som denne indstilling er beregnet til at skjule IP-adresser på de to brugere, der ringer til hinanden.
Under normale omstændigheder, Telegram ‘ s stemme, som kalder funktionen virker ved at etablere en direkte IP-til-IP-adresse (eller peer-to-peer) forbindelse mellem to brugere, og udveksling af datapakker mellem de to direkte.
Et peer-to-peer-forbindelse er ikke privat af design, som det direkte udsætter de to deltagere.
Standard mulighed for taleopkald, er at bruge peer-to-peer-forbindelse til brugernes kontakter, for forestillingens skyld. Dette betyder, at Telegrammet vil altid sive din IP-adresse til personer, du allerede har føjet til din liste over kontakter.
Men da Telegram gjort et navn for sig selv som en anonym IM-klient, virksomheden har også tilføjet en mekanisme til at skjule, at brugernes IP-adresser, når du ringer til hinanden –i form af “Ingen” løsning, der fortæller Telegram app til aldrig at indlede en peer-to-peer-forbindelse under taleopkald.
Denne indstilling er ikke aktiveret som standard, men når brugerne aktiverer det, de forventer, at privatlivets fred af deres kald til at blive hædret. Dette er, hvor Mishra siger, at han har opdaget fejlen, da han observerede, at brugernes IP-adresser, der ville lække under taleopkald med en “Nobody” indstilling er aktiveret.
TechRepublic: Sådan installere og bruge PassFF Firefox password manager
“Ikke kun MTProto Mobil-Protokollen ikke her i dækningen af den IP-adresse, snarere sådanne oplysninger kan også bruges til OSINT,” Mishra sagde.
Dette er en farlig fejl, især for brugere, der benytter Telegram for sit privatliv og anonymitet funktion, såsom journalister, politiske dissidenter, eller menneskerettigheder krigere.
I sommeren 2016, blev det rapporteret, at en Iransk stats-sponsoreret hacking gruppe misbrugt en sårbarhed i Telegram app til at identificere telefonnumre til over 15 millioner Iranere, der er registreret en konto på den platform, der effektivt at binde deres Telegram brugernavne til deres telefonnumre og deres virkelige personlighed.
En IP-lækage kan have lignende privatliv-at sprænge konsekvenser.
Det er anden gang en IP-lækagen blev fundet i Telegram desktop-klient, året efter et lignende blev opdaget og lappet i slutningen af juli.
Telegram tildelt Mishra en belønning på €2.000 for hans betænkning. IP-lækage modtaget CVE-2018-17780 sårbarhed identifikator.
Hvis brugerne mente, at deres Telegram taleopkald var private, og er nu at finde ud af dette er ikke tilfældet, de kan besøge “Indstillinger > beskyttelse af Personlige oplysninger og sikkerhed > Opkald > Peer-to-Peer” – sektion, og sæt den indstilling, at Ingen til at sikre, at deres privatliv er respekteret.
Relaterede dækning:
Android-spyware i udvikling plyndrer WhatsApp data, private samtalerNye Linux ‘Mutagen Astronomi’ sikkerhedshul virkninger Red Hat og CentOS distributionerfransk cyber-security agency åbne kilder KLIP OS, en sikkerhed hærdet OSCisco: Linux-kernen FragmentSmack bug nu påvirker 88 af vores produkterFirefox fejl, nedbrud din browser og nogle gange din PC
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0