IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

آسیب پذیری خطرناک نشت آیپی کاربر در تلگرام

اخبار داغ فناوری اطلاعات و امنیت شبکه

دیروز تلگرام نسخه جدید خود را با شماره 1.4 برای دسکتاپ منتشر کرد که قابلیت های جدید به ان اضافه شده است. اما یکی از مهمترین ضعف هایی که در این نسخه Patch شده است، امکان نشت اطلاعات مرتبط با IP کاربر ود که جزو یکی از باگ های خطرناک به شمار میرفت.Takian.ir telegram ip leak1
به گزارش ZDNet، تلگرام باگی را  که منجر به نشت اطلاعات آی پی آدرس ها،از طریق  کلاینت دسکتاپ این نرم‌افزار می‌شد را ترمیم کرد و به کاربران تلگرام توصیه شده است تا کلاینت دسکتاپ خود را حتما در اولین فرصت به‌روز کنند تا باگی را که منجر به نشت اطلاعات آی پی آدرس ها در بعضی از سناریو‌ها می‌شد وصله شود.

این باگ توسط یک محقق امنیت هندی کشف شده و توسط تلگرام برای ورژن های تلگرام دسکتاپ۱.۴.۰ و تلگرام دسکتاپ ۱.۳.۱۷ بتا وصله شده است.Takian.ir telegram ip leak2

در شرایط عادی ویژگی تماس صوتی تلگرام از طریق برقراری یک ارتباط نظیر به نظیر (در این مورد آی پی - به - آی پی) ارتباط دو کاربر را برقرار می‌کند و بسته‌های اطلاعاتی این دو را منتقل می‌کند.از لحاظ طراحی یک ارتباط نظیر-به-نظیر (peer-to-peer) یک ارتباط محرمانه نیست، چرا که آدرس آی پی های دو طرف ارتباط را آشکار می‌کند.Takian.ir Telegram Bug Bounty

انتخاب پیش‌فرض برای برقراری تماس صوتی در تلگرام، یک ارتباط نظیر-به -نظیر با همه مخاطبان کاربر است چراکه این نوع ارتباط کارایی بسیار خوبی دارد، پس این بدان معناست که تلگرام آدرس آی پی کاربران را به کسانی که تاکنون به عنوان مخاطب خود اضافه کرده اند از طریق تماس صوتی نشان می‌دهد.اما از آنجا که تلگرام اسمی تحت عنوان «اپلیکیشن چت ایمن ناشناس» را یدک می کشد، این شرکت مکانیزمی برای پوشاندن (maskکردن) آدرس آی پی کاربران وقتی با یکدیگر تماس می‌گیرند، اضافه کرده است (این مکانیزم تحت عنوان آپشن "nobody" وجود دارد که با فعال شدن به  اپ تلگرام می‌گوید هرگز از یک ارتباط نظیر-به نظیر برای برقراری تماس صوتی استفاده نکند.)حال این محقق هندی گفته است که آپشن"nobody"‌ فقط در کلاینت موبایل تلگرام موجود است و نه در کلاینت دسکتاپ آن به این معنی که تمامی تماس هایی که از طریق کلاینت دسکتاپ این اپ برقرار می‌شوند آدرس آی پی کاربرها را نشت می‌دهند.

این باگ جزو یکی از باگ های خطرناک محسوب می‌شود بخصوص برای افراد مهمی همچون سیاستمداران،روزنامه نگاران و فعالان حقوق بشر که از تلگرام به خاطر مسائل حریم شخصی و ناشناس بودن استفاده می‌کنند.
البته ایرانی ها نباید خیلی بابت این باگ نگرانی داشته باشند، زیرا با توجه به فیلتر بودن تلگرام، آدرس IP سرورهای VPN و فیلترشکن ها ثبت خواهد شد. اما به هر حال برای رفع نگرانی، فعلا در قسمت Voice Calls، گزینه Peer-to-Peer را بر روی Nobady قرار دهید.Takian.ir telegram ip leak Peer to Peer

------------------------------------

اخبار تکمیلی: موسس تلگرام آقای پاول دورف در کانال رسمی خود در این مورد توشیحاتی را ارائه داده است:Takian.ir telegram ip leak response

Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.
The reality is much less sensational – Telegram Desktop was at least as secure as other encrypted VoIP apps even before we improved it by adding an option to disable peer-to-peer calls. As for Telegram calls on mobile, they were always more secure than the competition, because they had this setting since day one.
During a peer-to-peer (P2P) call, voice traffic flows directly from one participant of a call to the other without relying on an intermediary server. P2P routing allows to achieve higher quality calls with lower latency, so the current industry standard is to have P2P switched on by default. 
However, there’s a catch: by definition, both devices participating in a P2P call have to know the IP addresses of each other. So if you make or accept a call, the person on the other side may in theory learn your IP address. 
That’s why, unlike WhatsApp or Viber, Telegram always gave its users the ability to switch off P2P calls and relay them through a Telegram server. Moreover, in most countries we switched off P2P by default. 
Telegram Desktop, which is used in less than 0.01% of Telegram calls, was the only platform where this setting was missing. Thanks to a researcher who pointed that out, we made the Telegram Desktop experience consistent with the rest of our apps.
However, it is important to put this into perspective and realize that this is about one Telegram app (Telegram Desktop) being somewhat less secure than other Telegram apps (e.g. Telegram for iOS or Android). If you compare Telegram with other popular messaging services out there, unfortunately, they are not even close to our standards. 
Using the terminology from the flashy headlines, WhatsApp, Viber and the rest have been “leaking your IP address” in 100% of calls. They are still doing this, and you can't opt out. The only way to stop this is to have all your friends switch to Telegram.

برچسب ها: نشت IP در تلگرام, peer-to-peer, آسیب پذیریتلگرام, CVE-2018-17780, Telegram, آسیب پذیری, تلگرام

چاپ ایمیل