Telegram Messenger là một ứng dụng truyền thông cho phép bạn tạo các cuộc trò chuyện được mã hóa và gọi điện thoại với những người dùng khác qua Internet. Chương trình này mô tả chính nó như là một ứng dụng truyền thông an toàn và riêng tư, nhưng một nhà nghiên cứu đã chỉ ra rằng trong cấu hình mặc định của nó nó sẽ cho phép địa chỉ IP của người dùng bị rò rỉ khi thực hiện cuộc gọi.
Điều này là do thiết lập mặc định trong Telegram, voice calls được tạo thông qua P2P. Tuy nhiên, khi sử dụng P2P để bắt đầu các cuộc gọi Telegram, địa chỉ IP của người bạn đang nói chuyện sẽ xuất hiện trong console logs của Telegram. Không phải tất cả các phiên bản đều bao gồm console log. Ví dụ: Windows không hiển thị console log trong các phiên bản thử nghiệm của, trong khi phiên bản Linux thì lại có.
Ứng dụng Telegram cho biết người dùng có thể ngăn không cho địa chỉ IP của họ bị tiết lộ bằng cách thay đổi cài đặt tại Settings -> Private and Security -> Voice Calls -> Peer-To-Peer to Never or Nobody. Việc làm này sẽ làm cho các cuộc gọi của người dùng được định tuyến thông qua các máy chủ của Telegram, giúp ẩn địa chỉ IP, nhưng sẽ làm giảm chất lượng âm thanh một chút.
P2P Settings in Telegram for iOS
Vấn đề là trong khi bạn có thể vô hiệu hóa các cuộc gọi P2P và rò rỉ địa chỉ IP trong iOS và Android, thì các nhà nghiên cứu bảo mật Dhiraj đã phát hiện ra rằng Telegram chính thức cho máy tính để bàn (tdesktop) và Telegram Messenger cho các ứng dụng Windows không cung cấp khả năng vô hiệu hóa Cuộc gọi P2P.
Điều này có nghĩa là địa chỉ IP của người dùng sẽ bị rò rỉ bất cứ khi nào họ sử dụng Telegram để thực hiện cuộc gọi. Bạn có thể xem ví dụ về địa chỉ IP bị rò rỉ trong console của Telegram for Desktop trên Ubuntu.
Trong cuộc trò chuyện với Dhiraj, nhà nghiên cứu này đã chia sẻ video Proof of Concept với BleepingComputer, minh họa cách các địa chỉ IP bị rò rỉ.
“Nếu bạn đã xem video PoC của tôi thì bạn sẽ thấy có 3 IP bị rò rỉ: 1. Máy chủ Telegram IP (Điều này thì Ok) 2. IP của riêng bạn (Điều này thì cũng okay) 3. Kết thúc IP người dùng (Còn điều này thì không)” Dhiraj giải thích.
Sau khi cảnh báo với Telegram về thiết lập còn thiếu trong Telegram for Desktop và Telegram for Windows, Dhiraj đã được trao một khoản tiền thưởng 2.000 € và báo cáo của ông đã được gán ID CVE-2018-17780 .
Vấn đề này đã được khắc phục trong phiên bản 1.3.17 beta và 1.4.0 của Telegram for Desktop, đã có cài đặt để tắt các cuộc gọi P2P được thêm vào chương trình.
Nguồn: bleepingcomputer.com