Risiederebbe nel protocollo desktop una falla che ha esposto gli indirizzi IP degli iscritti durante la funzione di chiamate P2P
Telegram è riconosciuto come client dalla sicurezza estrema. Non a caso, molti lo preferiscono a Whatsapp per chattare e inviare file, seppur entrambi utilizzino oramai piattaforme di crittografia ai top del mercato. Eppure, può capitare che ogni tanto un bug metta a rischio l’incolumità di milioni di persone, una piccola porzione di chi usa, quotidianamente, i software.
Ed è così che Dhiraj Mishra, un cacciatore di bug di Mumbai, ha scoperto una falla che avrebbe esposto in chiaro gli indirizzi IP durante le chiamate vocali su framework P2P in modalità desktop. Mentre gli utenti dell’app per iOS e Android di Telegram hanno la possibilità di disattivare le chiamate peer-to-peer dalle impostazioni, chi sfrutta il programma su computer non beneficia di un opt-out del genere, per cui, nel caso della debolezza odierna, non può che evitare l’utilizzo.
Cosa succede
Come segnala Bleeping Computer, il problema si ha quando si utilizza la funzione di telefonia P2P verso un altro iscritto che accetta la chiamata. In tal caso, l’indirizzo IP del ricevitore viene visualizzato nei registri della console della compagnia, passibile di essere violato e derubato. Il bug, con codice CVE-2018-17780, è stato riparato da Telegram con le versioni desktop v1.4.0 e beta v1.3.17 dove gli utenti hanno l’opportunità di disabilitare l’opzione, impostando il peer-to-peer su nessuna preferenza.
Il team di sicurezza di Telegram ha lavorato con Mishra per convalidare e risolvere la falla, ripagata circa 2 mila euro a favore del ragazzo. Una somma assurda se si pensa al parco clienti potenzialmente coinvolto e ora protetto. Queste le parole dell’azienda: “Subito dopo aver effettuato l’accesso conviene controllare che le chiamate P2P siano state chiuse. Questo perché le API globali potrebbero non aver ancora beneficiato dei nuovi comandi inseriti, mostrando configurazioni differenti per zona e nazione”.
