Noll
Bild: Stefan Mishra
Telegram användare som specifikt använda programmet för dess anonymitet har rekommenderas att uppdatera sina klienter så snart som möjligt för att lappa en bugg som kommer att läcka deras IP-adress i vissa fall.
Felet upptäcktes av Stefan Mishra, en bugg hunter från Mumbai, Indien, och blev fixad av Telegram med utsläpp av Telegram till Skrivbordet v1.4.0 och v1.3.17-beta.
Mishra berättade ZDNet att han upptäckte att under vissa villkor, Telegram desktop-klienter för Windows, Mac och Linux skulle avslöjar användarnas IP-adress, även när klienten är konfigurerad för att skydda denna information.
Också: Telegram börjar spela bra med säkerhetstjänster över användarens data, men inte i Ryssland
Läckan, Mishra sagt, hänt bara under röstsamtal, och inträffade även när “Peer-to-Peer” anslutning typ alternativet var att “Ingen.” Detta är en stor grej, så detta alternativ är avsett för att maskera IP-adresser för två användare att ringa varandra.
Under normala omständigheter, Telegram röst ringer funktion fungerar genom att skapa en direkt IP-till-IP (eller peer-to-peer) mellan två användare, och utbyta data paket mellan två direkt.
En peer-to-peer-anslutning är inte privat med design, som direkt avslöjar de två deltagarna.
Alternativet standard för röst-samtal är att använda en peer-to-peer-anslutning för användare kontakter, för prestanda skull. Detta innebär att Telegram alltid kommer att läcka din IP-adress till personer som du redan har lagt till i kontaktlistan.
Men eftersom Telegram gjort sig ett namn som en anonym IM-klient, företaget lade också till en mekanism för att dölja användarnas IP-adresser när du ringer varandra –i form av “Ingen” alternativ som berättar Telegram-appen för att aldrig starta ett peer-to-peer-anslutning under ett röstsamtal.
Detta alternativ är inte aktiverat som standard, men när användare gör det möjligt, de förväntar sig att den personliga integriteten i deras samtal att hållas. Det är där Mishra säger att han upptäckte felet, som han observerade att användarnas IP-adresser skulle läcka under röstsamtal med en “Nobody” – alternativet måste vara aktiverat.
TechRepublic: Hur att installera och använda PassFF Firefox password manager
“Inte bara MTProto Mobila Protokoll misslyckas här i täcker IP-adress, snarare sådan information kan också användas för OSINT,” Mishra sagt.
Detta är ett farligt fel, särskilt för användare som använder sig av Telegram till sin integritet och anonymitet har, såsom journalister, politiska dissidenter, eller mänskliga rättigheter fighters.
Sommaren 2016, det rapporterades att en Iransk stats-sponsrade hacking grupp som utnyttjade en sårbarhet i Telegram appen att identifiera telefonnummer för över 15 miljoner Iranier som registrerat ett konto på plattformen, ett effektivt sätt att binda sina Telegram användarnamn att deras telefonnummer och deras verkliga identitet.
En IP-läcka kan ha liknande integritet-busting konsekvenser.
Detta är andra gången en IP-läckan hittades i Telegram desktop client detta år efter en liknande upptäcktes och lappat i slutet av juli.
Telegram tilldelas Mishra en belöning på 2 000 euro för sin rapport. IP-läcka fått CVE-2018-17780 sårbarhet identifierare.
Om användarna trodde att deras Telegram röstsamtal var privata, och finns nu att hitta ut detta är inte fallet, de kan besöka “Inställningar > Sekretess och säkerhet > Samtal > Peer-to-Peer” – avsnitt och ställ in alternativet att Ingen för att säkerställa deras integritet respekteras.
Relaterade täckning:
Android spionprogram i utveckling plundrar WhatsApp data, privata konversationerNya Linux “Mutagen Astronomi” säkerhetsbrist påverkan Red Hat och CentOS distributionerfranska cyber-security agency öppna källor KLIPP OS, en säkerhet härdat OSCisco: Linux-kärnan FragmentSmack bugg nu påverkar 88 av våra produkterFirefox bugg kraschar din webbläsare och din DATOR ibland
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0