Доказано: Telegram не был анонимным

В декстопной версии Telegram для PC обнаружена ошибка, позволявшая выдавать IP-адрес собеседника при голосовых коммуникациях. 

Деанонимизация пользователей Telegram

В мобильном клиенте мессенджера Telegram выявлена серьезная уязвимость, которая при определенных условиях может выдавать IP-адреса пользователей. 

Как установили исследователи, по умолчанию Telegram направляет голосовые звонки через P2P-соединения. При этом IP-адрес может выводиться в консоли. Правда, не все версии Telegram поддерживают консоль, например, она не видна под Windows, но вполне доступна под Linux.

Эксперты выяснили, что если перенаправлять звонки через серверы самого Telegram, IP-адрес виден не будет. Но это потребует ручного изменения настроек: Settings -> PrivateandSecurity -> VoiceCalls -> Peer-To-Peerна значения Neverили Nobody, и при этом несколько снизится качество звучания.

Кроме того, отключить звонки через P2P легко удастся в iOS и Android, а, например, на десктопной версии Telegram под Windows это оказывается невозможным.

Эксперт по безопасности, известный под ником Дхирадж(Dhiraj), уже получил от разработчиков Telegram вознаграждение в размере 2 тыс. евро за обнаружение этой проблемы.

Уязвимость получила индекс CVE-2018-17780. На данный момент она исправлена в версиях Telegram for Desktop 1.3.17 beta и 1.4.0; теперь там появилась возможность отключать P2P-вызовы.

Нелепый баг

Разработчики Telegram изначально утверждали, что проблема с P2P-коммуникациями нейтрализуется тем обстоятельством, что по умолчанию выставлена опция My Contacts, ограничивающая возможность просмотра IP-адреса пользователя списком его контактов.

Однако позднее выяснилось, что в API Telegram содержалась ошибка, которая приводит к тому, что в течение нескольких часов после очередного логина P2P-соединения оставались открытыми для всех. Сейчас эта проблема исправлена.

«Очень странно, что разработчики Telegram допустили такое. Для приложения, которое позиционируется как защищенное, — в первую очередь, от попыток деанонимизировать пользователя, — подобное упущение выглядит как минимум нелепо, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Интересно и то, что разработчики Telegram так пока и не объяснили, зачем вообще было реализовывать по умолчанию P2P-соединения для звонков голосом».