用 Telegram 拨打电话？小心 IP 地址遭泄漏

翻译：360代码卫士团队

Telegram Messenger 私密通讯 app 可允许用户和其他人通过互联网创建加密聊天记录并拨打电话。然而，研究人员在其默认配置中发现，当用户拨打电话时，其 IP 地址可能遭泄漏。

这个问题是由 Telegram 中的一个默认设置引发的，该设置使得可通过 P2P 拨打语音电话。然而，当使用 P2P 拨打 Telegram 电话时，通话方的 IP 地址将会出现在 Telegram 的控制台日志中。并非所有版本均包含控制台日志。例如，Windows 并不会在测试中显示控制台日志，而 Linux 版本则会显示。

Telegram app 确实提示用户可通过更改设置的方式（将Settings -> Private and Security -> Voice Calls -> Peer-To-Peer更改为 Never 或 Nobody）阻止 IP 地址遭泄漏。这样做会导致用户的通话经由 Telegram 的服务器路由，从而隐藏 IP 地址，但代价是音频质量有所下降。

（iOS 版本的 P2P 设置）

问题是，当用户能够在 iOS 和安卓中禁用 P2P 通话和相关的 IP 地址泄漏时，安全研究员 Dhiraj 发现官方的桌面版 Telegram (tdesktop) 和 Telegram Messenger（Windows版本）应用程序并无法禁用 P2P 通话。

也就是说，这些用户的 IP 地址将会遭泄漏，不管他们是否通过 Telegram 拨打电话。例如，Ubuntu 上的桌面版 Telegram 将会在控制台上泄漏 IP 地址。

（IP 地址遭泄漏）

Dhiraj 在 PoC 视频中展示了三种 IP 地址的泄漏，即 Telegram 服务器 IP（并无大碍）、自己的 IP 地址（这个甚至也可以接受）以及终端用户 IP （无法接受）。

Dhiraj 将该问题告知 Telegram 公司，并得到2000欧元的奖励，且其漏洞报告的编号是 CVE-2018-17780。

该问题已在 Telegram 桌面版 1.3.17 beta 和 1.4.0 版本中修复，都是通过禁用所添加的 P2P 通话设置实现的。

（Telegram 源码变化）

为何在安全和隐私方面自诩的 Telegram 应用会在明知道默认启用 P2P 通话会泄漏 IP 地址的情况下仍然这样做呢？Dhiraj 表示 Telegram 公司并未对此作出任何解释。

原文链接

https://www.bleepingcomputer.com/news/security/telegram-leaks-ip-addresses-by-default-when-initiating-calls/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。