Доказано: Telegram не был анонимным

В декстопной версии Telegram для PC обнаружена ошибка, позволявшая выдавать IP-адрес собеседника при голосовых коммуникациях.

Деанонимизацияпользователей Telegram

В мобильном клиенте мессенджера Telegram выявлена серьезная уязвимость,которая при определенных условиях может выдавать IP-адреса пользователей.

Как установили исследователи, по умолчанию Telegramнаправляет голосовые звонки через P2P-соединения. При этом IP-адрес можетвыводиться в консоли. Правда, не все версии Telegram поддерживают консоль,например, она не видна под Windows, но вполне доступна под Linux.

Эксперты выяснили, что если перенаправлять звонки черезсерверы самого Telegram, IP-адрес виден не будет. Но это потребует ручного изменениянастроек: Settings-> PrivateandSecurity-> VoiceCalls-> Peer-To-Peerна значенияNeverилиNobody, и при этомнесколько снизится качество звучания.

Кроме того, отключить звонки через P2P легко удастся в iOS иAndroid, а, например, на десктопной версии Telegram под Windows это оказываетсяневозможным.

vzlomtelegi600.png

Утечка IP-адреса пользователя Telegram версии для PC на базе Ubuntu Linux

Эксперт по безопасности, известный под ником Дхирадж (Dhiraj), уже получил отразработчиков Telegram вознаграждение в размере 2 тыс. евро за обнаружение этойпроблемы.

Уязвимость получила индекс CVE-2018-17780. На данный моментона исправлена в версиях Telegram for Desktop 1.3.17 beta и 1.4.0; теперь тампоявилась возможность отключать P2P-вызовы.

Нелепый баг

Разработчики Telegram изначально утверждали, что проблема сP2P-коммуникациями нейтрализуется тем обстоятельством, что по умолчаниювыставлена опция My Contacts, ограничивающая возможность просмотра IP-адресапользователя списком его контактов.

Однако позднее выяснилось, что в API Telegram содержаласьошибка, которая приводит к тому, что в течение нескольких часов послеочередного логина P2P-соединения оставались открытыми для всех. Сейчас этапроблема исправлена.

«Очень странно, что разработчики Telegram допустили такое.Для приложения, которое позиционируется как защищенное, — в первую очередь, отпопыток деанонимизировать пользователя, — подобное упущение выглядит какминимум нелепо, — считает Олег Галушкин,директор по информационной безопасности компании SEC Consult Services. — Интереснои то, что разработчики Telegram так пока и не объяснили, зачем вообще былореализовывать по умолчанию P2P-соединения для звонков голосом».