Telegram имеет репутацию безопасного и конфиденциального мессенджера, хотя в последнее время эта репутация весьма сомнительная. Эксперт по безопасности Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость в десктопном приложении Telegram, которая позволяла раскрыть IP-адреса пользователей во время голосовых звонков.
Проблема заключалась в том, что официальный клиент мессенджера Telegram Desktop и приложение для Windows 10 не имели опции для отключения однорангового соединения (peer-to-peer, P2P), используемого для звонков, а значит IP-адреса участников разговора фиксируются в логах. Эта уязвимость позволяла провести хакерскую атаку, узнать местоположения пользователей и получить доступ к личным данным. К слову, в мобильных версиях этот параметр можно изменить в настройках. Пример утечки IP-адреса в консоли для Telegram Desktop на Ubuntu показан на скриншоте.
Дхирадж Мишра сообщил об отсутствующем параметре разработчикам Telegram, за что получил вознаграждение в сумме €2 тыс. Уязвимости был присвоен идентификатор CVE-2018-17780. На текущий момент проблема уже исправлена в десктопных версиях программы 1.3.17 beta и 1.4.0 stable, в которых была добавлена опция для отключения вызовов P2P.
В компании объяснили отсутствие необходимой опции тем, что настройки мессенджера по умолчанию для одноранговой сети предусматривались только для добавленных пользователем контактов, поэтому в этом не было особого смысла. Однако API обрабатывал запрос некорректно, и IP-адрес собеседника был доступен всем без исключения.
