默認設置下的Telegram撥打電話會泄露IP地址

Telegram Messenger是一款通信應用程序，允許通過Internet與其他用戶創建加密聊天和打電話。該程序將自己描述為一個安全的私人通信應用程序，但研究人員已經證明，在默認配置中，在撥打電話時它會泄露用戶的IP地址。

這是由Telegram中的默認設置引起的，其語音呼叫通過P2P進行。但是，當使用P2P發起Telegram呼叫時，通話另一方的IP地址將顯示在Telegram控制台日誌中。並非所有版本都包含控制台日誌。例如，在我們的測試中Windows版本不顯示控制台日誌，而Linux版本則顯示。

Telegram應用程序確實表明用戶可以通過更改Settings -> Private and Security -> Voice Calls -> Peer-To-Peer為 Never或Nobody來阻止他們的IP地址被泄露。執行此操作將導致用戶的呼叫通過Telegram的伺服器進行路由，這將隱藏IP地址，但代價是音頻質量略有下降。

iOS版Telegram的P2P設置

問題是，雖然可以在iOS和Android中禁用P2P呼叫和相關的IP地址泄漏，但安全研究人員Dhiraj發現官方的Telegram for Desktop（tdesktop）和Telegram Messenger for Windows應用程序無法禁用P2P通話。

這意味著只要用戶使用Telegram撥打電話，這些用戶的IP地址就會泄露。 可以在Ubuntu上看到Telegram for Desktop控制台中泄露的IP地址示例。

Telegram控制台日誌中泄露了IP地址

在與Dhiraj的對話中，研究人員與BleepingComputer分享了一個PoC視頻，說明了IP地址是如何泄露的。

Dhiraj解釋道,

在我的視頻PoC中可以看到3個IP泄漏：1.電報Telegram伺服器IP。2.你自己的IP。3.最終用戶的IP。

在向Telegram警告有關Telegram for Windows和Telegram for Windows缺失該設置後，Dhiraj獲得了2,000歐元的獎金，他的報告漏洞被分配了ID號CVE-2018-17780。

此問題已在1.3.17測試版和1.4.0版本的Telegram for Desktop中得到修復，其中有一個設置可以禁用添加到程序中的P2P調用。

Telegram源代碼更改

為什麼Telegram一個以安全性和隱私為傲的應用程序，默認情況下會啟用P2P調用，因為它知道泄漏IP地址沒有意義。 當BleepingComputer向Dhiraj詢問Telegram是否有理由這樣做時，他告訴我們「不就此事提供任何評論。」

BleepingComputer已聯繫Telegram徵求意見，但在本文發布時尚未收到回復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！