[摘要] 原标题:当心! 用桌面版Telegram的P2P语音通话可能外泄你的IP 图片来源: Dhiraj△Mishra 来自印度的资安研究人员Dhiraj△Mishra上周六(9/29)指出,强调安全及隐私的Telegram桌面版含有一安全漏
原标题:当心! 用桌面版Telegram的P2P语音通话可能外泄你的IP
图片来源: Dhiraj△Mishra 来自印度的资安研究人员Dhiraj△Mishra上周六(9/29)指出,强调安全及隐私的Telegram桌面版含有一安全漏洞,将在使用者执行P2P语音通话时外泄用户IP。在Telegram桌面版本执行语音通话的预...
图片来源:Dhiraj△Mishra
来自印度的资安研究人员Dhiraj△Mishra上周六(9/29)指出,强调安全及隐私的Telegram桌面版含有一安全漏洞,将在使用者执行P2P语音通话时外泄用户IP。
在Telegram桌面版本执行语音通话的预设技术为Peer-to-Peer,不过,Mishra却发现当以P2P进行语音通话时,可从纪录中察看对方的公开或私有IP,这对标榜匿名及隐私的Telegram而言是一大讽刺。此一漏洞影响了Telegram△for△Desktop(tdesktop)与Telegram△Messenger△for△Windows,当中的tdesktop为Telegram的开源版,支援Windows、macOS、Ubuntu、Fedora与Snappy等平台。
这个漏洞很简单,不过是Telegram在这些版本的P2P通话设定中,只有提供Everybody与My△Contacts的选项,而没有提供Nobody的选项,选择Nobody即是关闭了P2P功能,让语音通话的路径借由Telegram伺服器传递,它可藏匿用户的IP,只是会稍微牺牲通话品质。
Telegram已在1.3.17 Beta及1.4版中借由新增Nobody选项修补了该漏洞,此一漏洞的编号为CVE-2018-17780,而Mishra也因此获得Telegram所颁发的2,000欧元(约71,840元新台币)的抓漏奖励。
橙山网(Csnd.net)简评:在Telegram桌面版本执行语音通话的预...图片来源: Dhiraj△Mishra 来自印度的资安研究人员Dhiraj△Mishra上周六(9/29)指出,强调安全及隐私的Telegram桌面版含
网友评论