Un investigador de seguridad descubrió la falla
Dhiraj Mishra, investigador en ciberseguridad y hacking ético descubrió una configuracion por defecto en Telegram que podía exponer la dirección IP de sus usuarios cuando se realizan llamadas por esta vía.
Supuestamente Telegram es una aplicación de mensajería segura, pero obliga a los clientes a usar sólo la conexión P2P mientras inician una llamada, sin embargo, esta configuración también se puede cambiar desde “Configuración> Privacidad y seguridad> Llamadas> punto a punto” a otras opciones disponibles.
Acorde a especialistas en hacking ético las versiones de Telegram para Windows rompen esta confianza al filtrar la dirección IP pública/privada del usuario final y aún no había tal opción disponible para configurar “P2P> nobody” en las versiones de escritorio de Telegram.
Incluso Telegram para Android también podría filtrar su dirección IP si no ha editado “Configuración> Privacidad y seguridad> Llamadas> punto a punto>nobody” (pero la configuración de igual a igual para la opción de llamada ya existe en Telegram para Android).
Para ver esto en tdesktop, expertos en hacking ético comentan:
- Abrir tdesktop
- Iniciar llamada a quien sea
- Notará que la dirección IP del usuario final se filtrará
Un escenario más:
- Abrir tdesktop en Ubuntu y registrarse con el usuario A
- Permitir que el usuario B inicie una llamada al usuario A
Este problema se solucionó en las versiones 1.3.17 beta y v1.4.0, que tienen la opción de configurar su “P2P a nadie/Mis contactos”, posteriormente, el registro CVE-2018-17780 se asignó a esta vulnerabilidad.
Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, el encargado de reportar esta vulnerabilidad recibió 2 mil euros como recompensa por parte del equipo de seguridad de Telegram.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad