Мнимая уязвимость Telegram
t.me/DurovTV
Индийский эксперт по безопасности Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость в десктопном приложении Telegram для систем Windows, Mac и Linux, которая позволяла раскрывать реальные IP-адреса пользователей во время голосовых звонков. Мишра сообщил об этом в своём блоге, а также отметил, что подобная «утечка» происходила только во время голосовых звонков.
Проблема заключалась в том, что официальный клиент мессенджера Telegram Desktop не обладал опцией отключения однорангового соединения — peer-to-peer (P2P). Оно использовалось при голосовых звонках, фиксируя IP-адреса участников разговора в логах. Подобная уязвимость может стать причиной хакерской атаки, позволит узнать местоположения пользователей или получить доступ к личным данным.
Уязвимости был присвоен идентификатор CVE-2018-17780. В мобильных версиях этот параметр изменяется в настройках.
Дхирадж Мишра сообщил об отсутствующем параметре разработчикам Telegram, за что получил вознаграждение в сумме €2000. На текущий момент уже вышли новые версии Telegram Desktop 1.3.17 beta и 1.4.0 stable, где проблема исправлена путём добавления в настройки опции для отключения вызовов P2P.
Вышеописанная новость быстро превратилась в массовое написание российскими СМИ статей с заголовками «В Telegram обнаружена опасная уязвимость» или «В Telegram обнаружили утечку данных». Основатель мессенджера Павел Дуров ответил на действия российских журналистов постом в своём русскоязычном канале:
«Вчера в англоязычном канале комментировал то, что сегодня некоторые российские СМИ назвали “утечкой IP-адресов” пользователей Telegram Desktop. К счастью, речь идет о неверном использовании слова “утечка”. Утечка – это когда личные данные большого количества людей попадают в руки злоумышленников.
Когда же устройства двух собеседников при голосовом звонке устанавливают прямое соединение по IP адресам – это не “утечка”, а необходимая для таких соединений особенность реализации. Это стандарт, по которому работают звонки во всех популярных мессенджерах (включая WhatsApp, Viber и др.), а также до недавнего времени – Telegram для настольных компьютеров.
При этом Telegram – единственный мессенджер, мобильные приложения которого как раз не раскрывают IP адрес пользователя при принятии им звонков. Парадоксально, что именно Telegram при этом подвергся критике о некой “утечке”.
Впрочем, в последнее время именно в российских СМИ участились сообщения о мнимых взломах Telegram, которые при проверке оказывались примерами подмены понятий.
Мы рекомендуем пользователям не полагаться на СМИ и дожидаться официальных объявлений Telegram. Если у нас когда-нибудь действительно произойдет утечка данных, мы сообщим о ней сразу после обнаружения».
Подписывайся на наш канал: t.me/DurovTV
