هرچه سریع‌تر تلگرام خود را به‌روزرسانی کنید: آسیب‌پذیری در تماس صوتی و افشای آدرس IP

 

در نسخه‌ی رومیزی پیام‌رسان تلگرام که تمرکز اصلی آن بر روی حفظ امنیت و حریم خصوصی و رمزنگاری انتها به انتها است، یک آسیب‌پذیری شناسایی شده است. مهاجم با بهره‌برداری از این آسیب‌پذیری در حین تماس صوتی می‌تواند به آدرس‌های IP خصوصی و عمومی قربانی دست یابد. به این آسیب‌پذیری شناسه‌ی CVE-2018-17780 اختصاص یافته و نسخه‌ی رومیزی تلگرام بر روی بسترهای ویندوز، macOS و لینوکس را تحت تاثیر قرار داده است. این آسیب‌پذیری در چارچوب نظیر به نظیر که توسط این برنامه در تماس‌های صوتی مورد استفاده قرار می‌گیرد، وجود دارد.


برای بهبود کیفیت صوت در تماس‌های صوتی، تلگرام به‌طور پیش‌فرض از یک چارچوب نظیر به نظیر استفاده می‌کند که دو طرف به‌طور مستقیم باهم ارتباط برقرار می‌کنند که در نتیجه آدرس‌های IP افشاء می‌شود. مانند سرویس «چت امن» که در آن پیام‌های کاربران به‌طور انتها به انتها رمزنگاری می‌شود، تلگرام گزینه‌ی Nobody را برای تماس‌های صوتی ارائه کرده که از افشای آدرس IP جلوگیری می‌کند. فعال کردن این ویژگی باعث می‌شود تماس صوتی از طریق سرور تلگرام برقرار شده و کیفیت صوت کاهش یابد.


با این حال محققان امنیتی متوجه شدند ویژگی Nobody برای کاربران تلفن همراه تلگرام ارائه شده و نسخه‌ی رومیزی و همچنین برنامه‌ی Telegram Messenger در بستر ویندوز دارای این ویژگی نبوده و آدرس IP دو طرف در چنین تماس‌هایی نمایش داده می‌شود. این آسیب‌پذیری به تلگرام گزارش شده و این گروه در نسخه‌ی ۱٫۳٫۱۷ بتا و ۱٫۴٫۰ نسخه‌ی رومیزی تلگرام گزینه‌ی P2P to Nobody/My Contacts را در تنظیمات ارائه کرده‌اند. کاربران برای فعال کردن این ویژگی می‌توانند مسیر Settings → Private and Security → Voice Calls → Peer-To-Peer to Never or Nobody را دنبال کنند. محققی که این آسیب‌پذیری را شناسایی و گزارش کرده ۲۳۰۰ دلار از تلگرام جایزه دریافت کرده است. 
 

منبع

Related posts

Leave a Comment

20 − سه =