Telegram-дағы осалдық пайдаланушылардың IP-мекенжайларын жария етті

Әзірлеушілердің байқаусыздығы салдарынан Telegram мессенджерінің Windows, Mac және Linux арналған десктопты нұсқалары пайдаланушылардың IP-мекенжайларын дауысты қоңыраулар үдерісінде жария еткен.

Қалыпты жағдайда Telegram дауыстық қоңыраулар функциясы екі пайдаланушының арасында тікелей P2P-қосылуды өздігінен орнатып, осы кезде пакеттер алмасу олардың арасында тікелей жүзеге асырылады. Пирингілік қосылу құпия болып табылмайды, себебі үдеріске қатысушылардың IP-мекенжайларын жария етеді. Яғни, Telegram пайдаланушының IP-мекенжайын адамдарға байланыстар тізімінде үнемі ашық көрсетеді.

Telegram инженерлері жасырындылықты қамтамасыз ету мақсатында IP-мекенжайларын жасыру механизмі – қоңырау шалу кезінде пирингілік қосылуды бастамалауға рұқсат етпейтін«Nobody» опциясын қосты. Проблема аталған функция мессенджердің десктопты нұсқасына қолданылмай, тек қана оның мобильдік нұсқасында болуында.

Зерттеуші Дхирай Мишра (Dhiraj Mishra) айқындаған осалдық CVE-2018-17780 сәйкестендіргішін алып, әзірлеушілер «Nobody» опциясын баптауларына енгізген Telegram 1.4.0 және 1.3.17 beta десктопты нұсқалары жарық көргеннен кейін түзетілді. Осалдық туралы ақпарат үшін компания маманға $2 мың көлемінде марапат төледі.

P2P (peer-to-peer), сондай-ақ бір дәрежелі, орталықсыздандырылған немесе пирингілік желілер ретінде белгілі – қосымшаның тораптар (peer) арасындағы міндеттердің аражігін ажырататын бөлінген архитектурасы. Қосымшада тораптар бірдей артықшылықтарға ие болып, күштері тең желіні құрайды.

Ақпарат көзі: securitylab.ru