Falha no Telegram vazava endereços IP durante chamadas de voz
Por Felipe Demartini | 01 de Outubro de 2018 às 11h03
Uma falha de segurança descoberta no Telegram era a responsável por vazar o endereço IP dos usuários durante chamadas de voz. O problema foi descoberto pelo especialista em segurança da informação Dhiraj Mishra e acontecia durante chamadas de voz do aplicativo, quando suas configurações padrão eram utilizadas, e poderia abrir as portas para quebras de privacidade ou ataques diretos.
A falha estava na utilização do protocolo P2P pelo Telegram, conectando dois usuários diretamente durante uma ligação. Nesse processo, o endereço IP de quem estava recebendo a chamada poderia ser visualizado em logs de chamada do software, quando visualizados a partir de um console. O problema acontecia em todas as versões do aplicativo, mas tinha funcionamento diferente em cada uma delas.
No iOS e Android, por exemplo, é possível desativar o uso do protocolo P2P para realização de chamadas, o que, por si só, já resolvia a falha de segurança — por padrão, entretanto, o recurso vinha ativado e funcionando uma vez que o Telegram era instalado. No Linux, a própria aplicação trazia um console para visualização dos logs, enquanto a edição Windows não possui esse recurso, mas permitia a utilização de ferramentas externas para isso. O que une todos os casos, entretanto, é que o IP poderia ser vazado em qualquer um deles.
Com isso, os utilizadores estariam abertos a uma série de golpes online, desde a quebra de sua privacidade por meio de um rastreamento por localização, a partir do endereço, até outros tipos de ataque, que podem envolver a negação de serviço e outros tipos de explorações. Felizmente, a falha já foi consertada em todas as versões, pois o Telegram foi informado dela antes de sua revelação ao público.
Atualizações para as plataformas em que o mensageiro atua foram liberadas neste final de semana, enquanto o especialista em segurança responsável pela descoberta recebeu uma recompensa de € 2.000, o equivalente a cerca de R$ 9,5 mil. Com o update, as versões Windows do Telegram também receberam um recurso que permite desabilitar a utilização do protocolo P2P caso o utilizador assim deseje.
Fonte: Bleeping Computer