圖片來源: 

Dhiraj Mishra

來自印度的資安研究人員Dhiraj Mishra上周六(9/29)指出,強調安全及隱私的Telegram桌面版含有一安全漏洞,將在使用者執行P2P語音通話時外洩用戶IP。

在Telegram桌面版本執行語音通話的預設技術為Peer-to-Peer,不過,Mishra卻發現當以P2P進行語音通話時,可從紀錄中察看對方的公開或私有IP,這對標榜匿名及隱私的Telegram而言是一大諷刺。此一漏洞影響了Telegram for Desktop(tdesktop)與Telegram Messenger for Windows,當中的tdesktop為Telegram的開源版,支援Windows、macOS、Ubuntu、Fedora與Snappy等平台。

這個漏洞很簡單,不過是Telegram在這些版本的P2P通話設定中,只有提供Everybody與My Contacts的選項,而沒有提供Nobody的選項,選擇Nobody即是關閉了P2P功能,讓語音通話的路徑藉由Telegram伺服器傳遞,它可藏匿用戶的IP,只是會稍微犧牲通話品質。

Telegram已在1.3.17 Beta及1.4版中藉由新增Nobody選項修補了該漏洞,此一漏洞的編號為CVE-2018-17780,而Mishra也因此獲得Telegram所頒發的2,000歐元(約71,840元新台幣)的抓漏獎勵。


熱門新聞

Advertisement