Recurso de chamada de telegrama vaza seus endereços IP - Patch liberado

hack telegram messenger

A versão para desktop do aplicativo de mensagens criptografadas end-to-end, com foco em segurança e privacidade, Telegram , foi encontrada vazando os endereços IP públicos e privados de ambos os usuários por padrão durante as chamadas de voz.

Com 200 milhões de usuários ativos mensais em março de 2018, o Telegram se promove como um serviço de mensagens instantâneas ultra-seguro que permite que seus usuários façam chamadas de voz e bate-papo criptografadas de ponta a ponta com outros usuários pela Internet.

O pesquisador de segurança Dhiraj Mishra descobriu uma vulnerabilidade (CVE-2018-17780) na versão oficial do Telegram (tdesktop) para Windows, Mac e Linux, e o Telegram Messenger para Windows que vazava endereços IP dos usuários por padrão durante as chamadas de voz devido à sua estrutura peer-to-peer (P2P).

Para melhorar a qualidade de voz, o Telegram, por padrão, usa uma estrutura P2P para estabelecer uma conexão direta entre os dois usuários ao iniciar uma chamada de voz, expondo os endereços IP dos dois participantes.

Chamadas de telegrama podem vazar seu endereço IP


No entanto, assim como o Telegram fornece a opção "Chat secreto" para usuários que desejam que seus bate-papos sejam criptografados de ponta a ponta, a empresa oferece uma opção chamada "Ninguém", que os usuários podem ativar para impedir que seus endereços IP sejam expostos durante chamadas de voz.

Habilitar esse recurso fará com que as chamadas de voz do seu Telegrama sejam roteadas pelos servidores do Telegram, o que acabará diminuindo a qualidade do áudio da chamada.

No entanto, Dhiraj descobriu que essa opção Nobody está disponível apenas para usuários móveis, e não para aplicativos Telegram for Desktop (tdesktop) e Telegram Messenger para Windows, revelando a localização de todos os usuários de desktops, independentemente de quão cuidadosos eles poderiam ser.

Para obter um endereço IP de alguém, tudo o que um atacante precisa fazer é iniciar uma chamada. Assim que os destinatários escolherem uma chamada, a falha revelará seu endereço IP.

Dhiraj relatou suas descobertas para a equipe do Telegram, e a empresa corrigiu o problema nas versões 1.3.17 beta e 1.4.0 do Telegram for Desktop, fornecendo uma opção de configurar seu "P2P para Nobody / My Contacts".

Os usuários podem ativar a opção indo em direção a Configurações → Privada e Segurança → Chamadas de voz → Ponto a ponto para Nunca ou Ninguém.

Dhiraj também recebeu uma recompensa de bug de 2.000 euros (cerca de US $ 2.300) por encontrar e divulgar com responsabilidade a questão para a empresa.

O vazamento de endereços IP para um aplicativo que deve ser protegido é uma preocupação real e serve como um lembrete de que você não pode confiar cegamente nos serviços mais seguros e focados na privacidade.

Vazamento do Mensageiro do Telegrama Credenciais do Proxy SOCKS5 (Sem Correção)

Além disso, Dhiraj também descobriu e relatou uma falha separada ( CVE-2018-17613 ) no Telegram for Desktop que vaza as credenciais do proxy SOCKS5 em texto simples, quando usado, por ser um recurso opcional.
"O link que é gerado tem a senha em texto simples, o SOCKS5 é um protocolo de transporte e, por si só, não é criptografado. Solicita a transmissão das credenciais em texto simples, que é considerada uma prática de segurança ruim", disse Dhiraj.
"No entanto, a URL que é gerada por telegrama é em HTTPS, mas os produtores de URI não devem fornecer um URI que contenha um nome de usuário ou senha que se pretenda secreto. Os URIs são exibidos com frequência por navegadores, armazenados em marcadores de texto e registrados em log por histórico de agente do usuário e aplicações intermediárias (proxies). "
Embora a equipe da Telegram esteja ciente dessa falha, não tem planos de consertá-la tão cedo, já que a empresa acredita que o recurso está funcionando conforme o esperado.

No início deste ano, a versão para desktop do Telegram também foi afetada por uma vulnerabilidade de dia zero que havia sido explorada na natureza desde o ano passado para espalhar malware que minava as criptomoedas.



Comentários