В десктопной версии Telegram была найдена уязвимость, из-за которой во время аудиозвонков могли быть раскрыты публичные и частные IP-адреса пользователей. Ошибка в системе безопасности возникла из-за того, что в ПК-версии мессенджера нет возможности отключить одноранговые звонки.
Мобильного приложения эта проблема не касается — в нем пользователи могут отключить функцию прямого соединения (peer-to-peer, или P2P) между абонентами, чтобы скрыть свой интернет-адрес и местоположение. Это можно сделать, зайдя в "Настройки" -> "Конфиденциальность" -> "Голосовые звонки" и выбрать пункт "Всегда" или "Никогда" для раздела peer-to-peer. Если функция P2P выключена, все звонки будут идти через серверы Telegram, а истинный IP-адрес пользователя скрыт.
Однако в настольной версии Telegram такая возможность предусмотрена не была, объяснил эксперт Дхирадж Мишра. По словам исследователя, на компьютере история IP-адресов, между которыми было установлено соединение при начале звонка, записывается в лог-файл, который может быть прочитан злоумышленникам. В результате местоположение пользователя может быть скомпрометировано, пишет BleepingComputer.
Уязвимость была исправлена в версиях Telegram 1.3.17 beta и 1.4. В них у пользователей есть возможность ограничить функцию P2P-звонков кругом своих контактов либо вовсе её выключить. Нашедшему ошибку эксперту компания выплатила вознаграждение в размере двух тысяч евро.
