در نسخهی رومیزی پیامرسان تلگرام که تمرکز اصلی آن بر روی حفظ امنیت و حریم خصوصی و رمزنگاری انتها به انتها است، یک آسیبپذیری شناسایی شده است. مهاجم با بهرهبرداری از این آسیبپذیری در حین تماس صوتی میتواند به آدرسهای IP خصوصی و عمومی قربانی دست یابد. به این آسیبپذیری شناسهی CVE-2018-17780 اختصاص یافته و نسخهی رومیزی تلگرام بر روی بسترهای ویندوز، macOS و لینوکس را تحت تاثیر قرار داده است. این آسیبپذیری در چارچوب نظیر به نظیر که توسط این برنامه در تماسهای صوتی مورد استفاده قرار میگیرد، وجود دارد.
برای بهبود کیفیت صوت در تماسهای صوتی، تلگرام بهطور پیشفرض از یک چارچوب نظیر به نظیر استفاده میکند که دو طرف بهطور مستقیم باهم ارتباط برقرار میکنند که در نتیجه آدرسهای IP افشاء میشود. مانند سرویس «چت امن» که در آن پیامهای کاربران بهطور انتها به انتها رمزنگاری میشود، تلگرام گزینهی Nobody را برای تماسهای صوتی ارائه کرده که از افشای آدرس IP جلوگیری میکند. فعال کردن این ویژگی باعث میشود تماس صوتی از طریق سرور تلگرام برقرار شده و کیفیت صوت کاهش یابد.
با این حال محققان امنیتی متوجه شدند ویژگی Nobody برای کاربران تلفن همراه تلگرام ارائه شده و نسخهی رومیزی و همچنین برنامهی Telegram Messenger در بستر ویندوز دارای این ویژگی نبوده و آدرس IP دو طرف در چنین تماسهایی نمایش داده میشود. این آسیبپذیری به تلگرام گزارش شده و این گروه در نسخهی ۱٫۳٫۱۷ بتا و ۱٫۴٫۰ نسخهی رومیزی تلگرام گزینهی P2P to Nobody/My Contacts را در تنظیمات ارائه کردهاند. کاربران برای فعال کردن این ویژگی میتوانند مسیر Settings → Private and Security → Voice Calls → Peer-To-Peer to Never or Nobody را دنبال کنند. محققی که این آسیبپذیری را شناسایی و گزارش کرده ۲۳۰۰ دلار از تلگرام جایزه دریافت کرده است.
