Um novo bug Telegram foi descoberto recentemente que vaza os endereços IP públicos dos chamadores. Parece que a razão para isso é uma opção de configurações padrão que tem sido encontrado para causar este comportamento.
CVE-2018-17780: Grave telegrama encontrado um erro: Chama Leak endereços IP por padrão
Um novo relatório de segurança revela que popular aplicativo messenger Telegram contém uma vulnerabilidade. A característica interessante é que ele não é baseado em código ruim, mas pela forma como as configurações padrão são modelados. O bug Telegram por si só é causado pelo recurso de chamadas de voz, as opções padrão são para realizá-los através da rede peer-to-peer. A análise desta página mostra que o endereço IP do utilizador que inicia a chamada será gravado nos logs do console Telegram. Isto significa que todos os clientes ter esse recurso pode ler o endereço IP do seu respectivo interlocutor. Curiosamente nem todos os clientes Telegram ter um log de console.
No entanto, há uma maneira de resolver o problema alterando as opções padrão: Os usuários precisam para navegar para o “Configurações” página, abrindo o “Privada e de Segurança” aba, depois para o “Chamadas de voz” e modificando a secção “Pessoa para pessoa” opção de “Nunca”. Isto irá redirecionar thte chamadas através do servidor Telegram que escondem automaticamente os endereços IP e as mensagens de log.
Uma demonstração de prova de conceito já foi enviada para verificar se o problema. Na sequência da divulgação à equipe de segurança Telegram CVE-2018-17780 consultivo foi atribuído a ele. O pesquisador que relatou a vulnerabilidade foi premiado com uma recompensa de bug de € 2.000. A descrição associada do bug lê a seguinte:
Telegram desktop (aka tdesktop) 1.3.14, e Telegram 3.3.0.0 WP8.1 no Windows, vazamentos de endereços públicos e IP privado do usuário final durante uma chamada por causa de um comportamento padrão inseguro em que conexões P2P são aceites a partir de clientes fora da lista Meus contatos.
O bug Telegram foi corrigido nas atualizações lançadas com o 1.3.17beta e 1.4.0 lançamentos para o aplicativo desktop. Eles agora incluem uma configuração para desativar as chamadas P2P. A resposta da equipe de desenvolvimento da telegrama diz que a questão era durante o processo de início de sessão. Ao receber a notícia do problema eles lançaram atualizações adequadas e fixaram a forma como os pedidos de chamada alças de serviços de voz quando as opções necessárias estão set.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: