Inicio / Para Expertos / Telegram pierde direcciones IP por defecto al iniciar llamadas

Telegram pierde direcciones IP por defecto al iniciar llamadas

Telegram Messenger es una aplicación de comunicación que le permite crear chats cifrados y llamadas telefónicas con otros usuarios a través de Internet. Este programa se describe a sí mismo como una aplicación de comunicación segura y privada, pero un investigador ha demostrado que en su configuración predeterminada permitiría que se filtre la dirección IP de un usuario al hacer una llamada.

Esto se debe a una configuración predeterminada en Telegram, que hace que las llamadas de voz se realicen a través de P2P. Sin embargo, al usar P2P para iniciar llamadas de Telegram, la dirección IP de la persona con la que está hablando aparecerá en los registros de la consola de Telegram. No todas las versiones incluyen un registro de la consola. Por ejemplo, Windows no muestra un registro de consola en nuestras pruebas, mientras que la versión de Linux sí lo hace.

La aplicación Telegram indica que los usuarios pueden evitar que se revele su dirección IP al cambiar la configuración en Configuración -> Privada y Seguridad -> Llamadas de voz -> Punto a punto a Nunca o Nadie . Hacer esto provocará que las llamadas del usuario se enruten a través de los servidores de Telegram, lo que luego ocultaría la dirección IP, pero a costa de tener una ligera disminución en la calidad del audio.
Configuración de P2P en Telegram para iOS
Configuración de P2P en Telegram para iOS

El problema es que si bien puedes deshabilitar las llamadas P2P y la fuga de direcciones IP asociadas en iOS y Android, el investigador de seguridad  Dhiraj  ha descubierto que las aplicaciones oficiales de Telegram para escritorio (tdesktop) y Telegram Messenger para Windows  no ofrecen la capacidad de deshabilitar Llamadas P2P.

Esto significaba que las direcciones IP de estos usuarios se filtrarían cada vez que usaran Telegram para realizar una llamada. Puede ver un ejemplo de una dirección IP que se filtró en la consola de Telegram for Desktop en Ubuntu.

Fuga de la dirección IP en el registro de la consola de Telegram
Fuga de la dirección IP en el registro de la consola de Telegram

En conversaciones con Dhiraj, el investigador compartió un video Prueba de concepto con BleepingComputer que ilustró cómo se filtraron las direcciones IP.

“Si ve en mi video PoC, hay 3 IP’s que se filtran:
1. IP del servidor Telegram (Está bien)
2. Su propia IP (Incluso eso está bien)
3. IP del usuario final (Eso no está bien)” explicó Dhiraj.

Después de alertar a Telegram sobre esta configuración faltante en Telegram for Desktop y Telegram para Windows, Dhiraj recibió una recompensa de 2.000 € y su informe recibió la   identificación CVE-2018-17780 .

Este problema ya se ha resuelto en las 1.3.17 beta y 1.4.0 versiones de telegrama para escritorio, que han tenido una configuración para desactivar las llamadas P2P añadidos al programa.

Cambios en el código fuente de Telegram

Por qué Telegram, una aplicación que se enorgullece de la seguridad y la privacidad, habilitaría las llamadas P2P de forma predeterminada cuando saben que podría haber una fuga de direcciones IP, no tiene sentido. Cuando BleepingComputer le preguntó a Dhiraj si Telegram tenía una razón para hacerlo, nos dijo “No, no se proporcionaron comentarios sobre esto”.

Actualización 9/30/18 2:36 PM EST: cuando fuimos los primeros en informar esta historia, Telegram indicó que la opción “Mis contactos” era la configuración predeterminada de igual a igual  y que solo los contactos de un usuario, por lo tanto, verían IP direcciones. Cuando probé la instalación de la aplicación y la configuré por primera vez, esta configuración siempre se establece de forma predeterminada en la configuración “Siempre”.

Después de más pruebas con BleepingComputer y otros probadores, los desarrolladores de Telegram encontraron un error que haría que la aplicación utilizara la configuración Todos o Siempre durante unas horas y, por lo tanto, sus direcciones IP se revelarían por defecto.

La descripción del error por parte del desarrollador de Telegram está a continuación:

“Hemos encontrado y solucionado el problema que tenía nuestro comprobador. Resultó que durante el proceso de inicio de sesión, la API no devolvió ningún valor para la opción (tratada como” todos “). Inmediatamente después de que el usuario iniciara sesión, el api devolvió el valor predeterminado correcto (mis contactos). Sin embargo, el cliente podría demorar varias horas para actualizar esta configuración. Por lo tanto, antes de arreglar esto, las aplicaciones podrían mostrar “todos” en la configuración durante una o dos horas después de una nuevo inicio de sesión “.

Fuente: bleepingcomputer

Vea También

Error crítico solucionado en Packagist, el repositorio de paquetes más grande de PHP

Los mantenedores de Packagist, el repositorio de paquetes más grande del ecosistema de PHP, han …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.