Hlavní navigace

Telegram prozrazuje při volání IP adresu

Sdílet

Jan Fikar 1. 10. 2018
Telegram

Telegram při telefonování může prozradit vaši IP adresu. Jde ji najít v logu volajícího. Chyba má označení CVE-2018–17780. V mobilních Telegram klientech lze nastavit volání P2P jen pro lidi v kontaktech nebo pro nikoho. Kupodivu nastavení P2P pro všechny bylo chybně výchozí, správně by mělo být jen pro lidi v kontaktech. Navíc desktopoví klienti neměli možnost P2P telefonování nijak nastavovat. To by se mělo změnit ve verzi 1.3.17 beta a 1.4.0.

(zdroj: bleepingcoputer)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 1. 10. 2018 18:05

    volani.tk (neregistrovaný) 2a02:8308:c0:----:----:----:----:----

    No ideál by bylo P2P bez vyzrazení IP adresy, ale jde to udělat?
    Log nelog, tohle by se přece dalo stejně zjistit z logu firewallu nebo nějakého síťového monitoru.
    Pokud to není P2P ntak to musí jít přes prostředníka/server a ten také musí být důvěryhodný a nebo to musí být nějaké alá TOR, přes několik serverů, šifrované atd a to už je často velká režie..

    Je tohle vyřešení v TOXu a Ringu?
    Ono stejně když už si tam člověk s někoho přidá do adresáře s tím dlouhým kódem tak mu už možná až tak nevadí že mu prozradí IP, ale měl by o tom vědět.. :)
    V Ringu se dá volat i přes SIP a ZRTP. Tam nevím také vlastně jak to je s těmi IP.. .)

  • 1. 10. 2018 23:19

    volani.tk (neregistrovaný) 2a02:8308:c0:----:----:----:----:----

    na tox si odpovím sám. Pokud víte u https://ring.cx/, tak se podělte..

    Does Tox leak my IP address?
    Tox makes no attempt to cloak your IP address when communicating with friends, as the whole point of a peer-to-peer network is to connect you directly to your friends. A workaround does exist in the form of tunneling your Tox connections through Tor. However, a non-friend user cannot discover your IP address using only a Tox ID; your IP address will only be discernible when you accept/send a friend request, and add a user to your contacts list.
    https://tox.chat/faq.html

    Strojový překlad přes yandex:
    Tox nedává žádný pokus o maskování vaše IP adresa při komunikaci s přáteli, jako smyslem peer-to-peer sítě, je připojit přímo se svými přáteli. Řešení existuje v podobě tunelování své Tox připojení přes Tor. Nicméně, non-přítele uživatel nemůže zjistit vaši IP adresu pouze pomocí Tox ID; IP adresa bude pouze rozeznatelné, když jste přijmout/poslat žádost o přátelství, a přidat uživatele do seznamu kontaktů.

  • 1. 10. 2018 23:28

    volani.tk (neregistrovaný) 2a02:8308:c0:----:----:----:----:----

    k Toxu ještě..:
    What is stopping people from tracking me through the public DHT?
    Tox generates a temporary public/private key pair used to make connections to non-friend peers in the DHT. Onion routing is used to store and locate Tox IDs, to make it more difficult to, for example, associate Alice and Bob together by who they are looking for in the network.

    K ringu:
    https://ring.cx/en/about/privacy-and-anonymity

    Strojový překlad:
    Prohlášení o ochraně soukromí
    Ring je projekt svobodného softwaru. Jeho hlavním účelem je poskytnout distribuovaný komunikační systém, který respektuje důvěrnost uživatelů tím, že nemá žádné centralizované servery.

    Kruh využívá distribuované hashové tabulky pro vytváření komunikace. Tím se zabrání uchovávání centralizovaných registrů uživatelů a ukládání osobních údajů.

    Nemůžeme se však ujistit, že Ring poskytuje úplnou anonymitu a soukromí v síti. Známe dvě možné slabiny.

    Jednou z možných slabostí je to, že OpenDHT shromažďuje a ukládá metadata. To umožňuje odposlouchávkám sledovat provoz na nějakém uzlu DHT a zjistit, s kým mluví. Nicméně nebudou mít přístup k obsahu konverzací.

    Druhá možná slabost je, že prsten uchovává přístupovou frázi uživatele v paměti po dobu trvání relace. To by mohlo být zdrojem zranitelnosti v některých (spíše nepravděpodobných) okolnostech. Študujeme, jak se tomu zabránit v paměti.

    A konečně, Ring ještě nebyl důkladně prozkoumán, takže nemůžeme dělat kategorická tvrzení o účinnosti jeho bezpečnosti a anonymity.

    Aktualizujeme tuto stránku, abychom sledovali vývoj Ringu.

    Vítáme vaše návrhy nebo úvahy o těchto bodech; napište na náš veřejný seznam adres, <ring@gnu.org>.

    Poděkování

    Zvláštní díky:
    - pan Mike Gerwitz, správce a dobrovolník GNU, jehož odbornost a zpětná vazba o aspektech bezpečnosti Ringu byla pro náš tým velkou pomocí.
    - FSF a pan John Sullivan za podporu projektu Ring.

  • 2. 10. 2018 8:06

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    To sem zvedavaj, kdy nejakej soudruh zalozi CVE na to, ze internet pouziva IP adresy.

  • 2. 10. 2018 11:56

    Karel (neregistrovaný) ---.cust.nbox.cz

    Jo jo, také si říkám, jak moc budou lidé vyděšení až zjistí, že v IP packetu jsou hned dvě IP adresy: Source a Destination. A zda i navzdory těm názvům začou seriozně řešit, zda by IP packet nešlo doručit i bez vyplnění Destination?

  • 2. 10. 2018 14:03

    BobTheBuilder

    No, tak tady šlo snad o to, že ta adresa peeru zůstala v logu a dala se dodatečně získat (zpětně).
    Textové zprávy můžete posílat klidně přes TOR, ale hovory nebo dokonce videohovory ne, pokud nechcete simulovat komunikaci Houstnu s Apollem 11.
    Po dobu hovoru IP adresy (spojení) někde lze vidět (třeba na routeru), s tím se nedá nic dělat, ale po skončení relace je nežádoucí tuto informaci uchovávat.
    Kromě toho Telegram v posledních dnech vydal novou verzi (5 pro iOS, 1.4 pro Windows), kde píšou, že je kompletně přepsaný, takže všechny staré bugy jsou pryč (a jestli tam jsou nové, čekají teprve na odhalení).

  • 2. 10. 2018 15:28

    Jiří Eischmann

    O tom logování není v popisu CVE a podpůrném článku ani slovo. CVE je opravdu o objevení Ameriky, že v P2P komunikaci může protistrana vidět vaši IP adresu. Se divím, že autor neotevřel CVE i na ostatní služby, které používají P2P komunikaci a přirozeně leakují IP adresy.
    Důvod, proč za to dostal od Telegramu 2000 eur, je ten, že upozornil na to, desktopový klient neumožňoval vypnout P2P u hovorů, věc, kterou většina služeb nemá vůbec.

  • 2. 10. 2018 16:46

    BobTheBuilder

    No jo, to jsem si zase přečetl jen tu zprávičku a ne to CVE a v něm uvedenou referenci na bug-bounty.
    Nicméně v desktopové verzi 1.4 je to opraveno (peer-to-peer je ve výchozím stavu nastaveno pro "my contacts"). V mobilní aplikaci (verze 5/iOS) taky, v Androidu to bude nejspíš stejné.

  • 2. 10. 2018 17:05

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Takze ... kdy si mam jit zapsat CVE ze jde (jako ze urcite jde) vlozit nejaky kontakt do ... my contacts?

    Me teda prijde celkem logicky, ze kdyz chci s nekym nejak komunikovat, tak mu nejspis o sobe neco musim rict, kdyz nic jinyho tak tu IP adresu, na ktery me zastihne, nebo nejaky jiny identifikator, ktery se stejne do toho IPcka nakonec premeni, a je pro me o dost akceptovatelnejsi komunikovat s milionem "cizich" lidi naprimo, nez s milionem lidi pres prostrednika, kterej si to pekne vsechno eviduje.

    A pokud mi vadi, ze nekdo nekde cestou muze videt s kym se bavim, tak tohle rozhodne nic neresi.

  • 2. 10. 2018 17:57

    Jiří Eischmann

    Potenciálně problémové by to mohlo být v kombinaci s nastavením, že mi může zavolat kdokoliv, nejen mé kontakty. Potom stačí prozvonit a kdokoliv může zjistit mou IP adresu. Ale je to asi nejvtipnější CVE, které jsem za poslední dobu viděl. Že zjistil, že jeden z oficiálních klientů neumožňuje vypnout P2P a že za to dostal nějakou odměnu, je v pořádku, ale dělat z toho CVE a pak o tom psát senzační zprávičky a články? To už je krapet přehánění.

  • 2. 10. 2018 18:53

    Durovovo vysvětlení (neregistrovaný) ---.klfree.cz

    Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.

    The reality is much less sensational – Telegram Desktop was at least as secure as other encrypted VoIP apps even before we improved it by adding an option to disable peer-to-peer calls. As for Telegram calls on mobile, they were always more secure than the competition, because they had this setting since day one.

    During a peer-to-peer (P2P) call, voice traffic flows directly from one participant of a call to the other without relying on an intermediary server. P2P routing allows to achieve higher quality calls with lower latency, so the current industry standard is to have P2P switched on by default.

    However, there’s a catch: by definition, both devices participating in a P2P call have to know the IP addresses of each other. So if you make or accept a call, the person on the other side may in theory learn your IP address.

    That’s why, unlike WhatsApp or Viber, Telegram always gave its users the ability to switch off P2P calls and relay them through a Telegram server. Moreover, in most countries we switched off P2P by default.

    Telegram Desktop, which is used in less than 0.01% of Telegram calls, was the only platform where this setting was missing. Thanks to a researcher who pointed that out, we made the Telegram Desktop experience consistent with the rest of our apps.

    However, it is important to put this into perspective and realize that this is about one Telegram app (Telegram Desktop) being somewhat less secure than other Telegram apps (e.g. Telegram for iOS or Android). If you compare Telegram with other popular messaging services out there, unfortunately, they are not even close to our standards.

    Using the terminology from the flashy headlines, WhatsApp, Viber and the rest have been “leaking your IP address” in 100% of calls. They are still doing this, and you can't opt out. The only way to stop this is to have all your friends switch to Telegram.