Уязвимость в Telegram раскрывала IP-адреса пользователей

RedruMZ · #1 03-29-2025, 10:55 PM

Разработчки забыли добавить опцию «Nobody» в десктопную версию мессенджера.
Из-за недосмотра разработчиков десктопные версии для Windows, Mac и Linux мессенджера Telegram раскрывали IP-адреса пользователей в процессе голосовых звонков.
В обычных обстоятельствах функция голосовых звонков Telegram по умолчанию устанавливает прямое P2P-соединение между двумя пользователями, при котором обмен пакетами осуществляется непосредственно между ними. Пиринговое соединение не является конфиденциальным, поскольку раскрывает IP-адреса участников процесса. То есть, Telegram всегда раскрывает IP-адрес пользователя людям в контактном списке.
С целью обеспечения анонимности инженеры Telegram добавили механизм маскировки IP-адресов - опцию «Nobody», запрещающую инициировать пиринговое соединение при совершении звонков. Проблема заключается в том, что данная функция присутствует только в мобильной версии мессенджера и не распространяется на десктопную.
Уязвимость, обнаруженная исследователем Дхираем Мишра (Dhiraj Mishra), получила идентификатор CVE-2018-17780 и уже исправлена с выходом десктопных версий Telegram 1.4.0 и 1.3.17 beta, в которых разработчики добавили опцию «Nobody» в настройки. За информацию об уязвимости компания выплатила специалисту награду в размере $2 тыс.
P2P (peer-to-peer), также известные как одноранговые, децентрализованные или пиринговые сети, - распределенная архитектура приложения, разделяющая задачи между узлами (peer). Узлы имеют одинаковые привилегии в приложении и образуют сеть равносильных узлов.

Alex · #2 03-29-2025, 11:18 PM

So putin took it anyway...

fakelogin005 · #3 03-29-2025, 11:27 PM

Очередное доказательство тому что лучшая анонимная беседа - это беседа тут-а-тет в дали от посторонних глаз и ушей..

Царь · #4 03-29-2025, 11:40 PM

Quote:

Originally Posted by iseeyou

Очередное доказательство тому что лучшая анонимная беседа - это беседа тут-а-тет в дали от посторонних глаз и ушей..

...и только в бане....

waji24 · #5 03-29-2025, 11:53 PM

о да...некогда не доверял новым анонимным сетям.
как говориться старый друг лучше новых двух.

fakelogin005 · #6 03-29-2025, 11:58 PM

Думаю нет смысла открывать новую тему, добавлю сдесь.
В Telegram найдена критическая уязвимость
Специалист по кибербезопасности Натаниэль Сачи, заявил, что десктопная версия Telegram хранит все переписку в незашифрованном виде, при этом сообщения из секретных чатов и обычных хранятся в одном месте ( то есть разницы между ними нет). Любой кто отправит пару запросов к базе данных, сможет прочитать все ваши сообщения. Вообще звучит ужасно, даже не верится.
Ждём комментарий Дурова.
https://mobile.twitter.com/nathaniel...53304844062720

Fordeal · #7 03-30-2025, 12:08 AM

я не понимаю кто юзает телегу?
как сервисы с лохофорумов могут сидеть на телеге?
имеем ник в телеге
1. реальная симка тогда все просто .
- узнаем номер тел
- узнаем на кого оформлена
-узнаем гео и заказав пробив зонтик(5 ближайщихномеров)
- узнаем всю переписку смс и все звонки.
- можно перевыпутсить симку и забрать телегу.
Если юзать виртуальный номер, то еще как то можно обезопасить себя, главное что бы не сдох сайт с этим номером и вовремя его оплачивать, иначе писда телеге.

fakelogin005 · #8 03-30-2025, 12:16 AM

Quote:

Originally Posted by Tungsten

Если юзать виртуальный номер, то еще как то можно обезопасить себя, главное что бы не сдох сайт с этим номером и вовремя его оплачивать, иначе писда телеге.

А разве можно как то по другому? И причем тут сайт? Номер нужен на один раз, чтобы принять смску при регистрации. И по хорошему переодически этот номер менять.
Это должно быть ясно как отче наш.

koko · #9 03-30-2025, 12:21 AM

Quote:

Originally Posted by iseeyou

Думаю нет смысла открывать новую тему, добавлю сдесь.
В Telegram найдена критическая уязвимость
Специалист по кибербезопасности Натаниэль Сачи, заявил, что десктопная версия Telegram хранит все переписку в незашифрованном виде, при этом сообщения из секретных чатов и обычных хранятся в одном месте ( то есть разницы между ними нет). Любой кто отправит пару запросов к базе данных, сможет прочитать все ваши сообщения. Вообще звучит ужасно, даже не верится.
Ждём комментарий Дурова.
https://mobile.twitter.com/nathaniel...53304844062720

То есть если я получу доступ в компу жертвы, я смогу читать ее пеереписку с компа. Охуеть уязвимость