Vlákno názorů k článku
Telegram prozrazuje při volání IP adresu
od j - To sem zvedavaj, kdy nejakej soudruh zalozi CVE...
-
BobTheBuilderStříbrný podporovatelNo, tak tady šlo snad o to, že ta adresa peeru zůstala v logu a dala se dodatečně získat (zpětně).
Textové zprávy můžete posílat klidně přes TOR, ale hovory nebo dokonce videohovory ne, pokud nechcete simulovat komunikaci Houstnu s Apollem 11.
Po dobu hovoru IP adresy (spojení) někde lze vidět (třeba na routeru), s tím se nedá nic dělat, ale po skončení relace je nežádoucí tuto informaci uchovávat.
Kromě toho Telegram v posledních dnech vydal novou verzi (5 pro iOS, 1.4 pro Windows), kde píšou, že je kompletně přepsaný, takže všechny staré bugy jsou pryč (a jestli tam jsou nové, čekají teprve na odhalení). -
O tom logování není v popisu CVE a podpůrném článku ani slovo. CVE je opravdu o objevení Ameriky, že v P2P komunikaci může protistrana vidět vaši IP adresu. Se divím, že autor neotevřel CVE i na ostatní služby, které používají P2P komunikaci a přirozeně leakují IP adresy.
Důvod, proč za to dostal od Telegramu 2000 eur, je ten, že upozornil na to, desktopový klient neumožňoval vypnout P2P u hovorů, věc, kterou většina služeb nemá vůbec. -
BobTheBuilderStříbrný podporovatel
No jo, to jsem si zase přečetl jen tu zprávičku a ne to CVE a v něm uvedenou referenci na bug-bounty.
Nicméně v desktopové verzi 1.4 je to opraveno (peer-to-peer je ve výchozím stavu nastaveno pro "my contacts"). V mobilní aplikaci (verze 5/iOS) taky, v Androidu to bude nejspíš stejné. -
j (neregistrovaný)
Takze ... kdy si mam jit zapsat CVE ze jde (jako ze urcite jde) vlozit nejaky kontakt do ... my contacts?
Me teda prijde celkem logicky, ze kdyz chci s nekym nejak komunikovat, tak mu nejspis o sobe neco musim rict, kdyz nic jinyho tak tu IP adresu, na ktery me zastihne, nebo nejaky jiny identifikator, ktery se stejne do toho IPcka nakonec premeni, a je pro me o dost akceptovatelnejsi komunikovat s milionem "cizich" lidi naprimo, nez s milionem lidi pres prostrednika, kterej si to pekne vsechno eviduje.
A pokud mi vadi, ze nekdo nekde cestou muze videt s kym se bavim, tak tohle rozhodne nic neresi.
-
Potenciálně problémové by to mohlo být v kombinaci s nastavením, že mi může zavolat kdokoliv, nejen mé kontakty. Potom stačí prozvonit a kdokoliv může zjistit mou IP adresu. Ale je to asi nejvtipnější CVE, které jsem za poslední dobu viděl. Že zjistil, že jeden z oficiálních klientů neumožňuje vypnout P2P a že za to dostal nějakou odměnu, je v pořádku, ale dělat z toho CVE a pak o tom psát senzační zprávičky a články? To už je krapet přehánění.
