Telegram Messenger是一款通信应用程序允许通过Internet與其他用户创建加密聊天和打电话。该程序将自己描述为一个安全的私人通信应用程序但研究人员已经证明,在默认配置中在拨打电話时它会泄露用户的IP地址。
这是由Telegram中的默认设置引起的其语音呼叫通过P2P进行。但是当使用P2P发起Telegram呼叫时,通话设置在哪里另一方的IP地址將显示在Telegram控制台日志中并非所有版本都包含控制台日志。例如在我们的测试中Windows版本不显示控制台日志,而Linux版本则显示
这意味着只要鼡户使用Telegram拨打电话,这些用户的IP地址就会泄露 可以在Ubuntu上看到Telegram for Desktop控制台中泄露的IP地址示例。
elegram控制台日志中泄露了IP地址
在与Dhiraj的对话中研究人員与BleepingComputer分享了一个PoC视频,说明了IP地址是如何泄露的
在我的视频PoC中可以看到3个IP泄漏:1.电报Telegram服务器IP。2.你自己的IP3.最终用户的IP。
此问题已在1.3.17测试蝂和1.4.0版本的Telegram for Desktop中得到修复其中有一个设置可以禁用添加到程序中的P2P调用。
为什么Telegram一个以安全性和隐私为傲的应用程序默认情况下会启用P2P調用,因为它知道泄漏IP地址没有意义 当BleepingComputer向Dhiraj询问Telegram是否有理由这样做时,他告诉我们“不就此事提供任何评论”