Telegram expone las direcciones IP por defecto al realizar llamadas

Telegram expone las direcciones IP por defecto al realizar llamadas

Actualización: Comunicado de Durov aclarando la situación

Telegram Messenger es una aplicación de comunicación que casi es como una red social. Últimamente popularidad se encuentra en aumento porque se establece como una aplicación de comunicación segura y privada.

Recientemente un investigador ha demostrado que en su configuración predeterminada permitiría que se filtre la dirección IP de un usuario al hacer una llamada.

Por defecto se usa el P2P en las llamadas

La filtración de IP se debe principalmente a la configuración predeterminada en Telegram, que hace que las llamadas de voz se realicen a través de P2P.

Cuando usamos el P2P para iniciar llamadas de Telegram, la dirección IP de la persona con la que está hablando aparecerá en los registros de la consola de Telegram. No todas las versiones incluyen un registro de la consola.

La aplicación Telegram indica que los usuarios pueden evitar que se revele su dirección IP al cambiar la configuración de las aplicaciones en:

Configuración -> Privacidad y Seguridad -> Llamadas de voz -> Peer-to-peer a Nunca o Nadie

Cuando hacemos esto las llamadas que realizamos pasarán a través de los servidores de Telegram, lo permite ocultar nuestra dirección IP, pero a costa de tener algunas veces una peor calidad del audio.

¿Cuál es el problema entonces?

El problema es que si bien puedes deshabilitar las llamadas P2P en las aplicaciones de iOS y Android, el investigador de seguridad Dhiraj ha descubierto que las aplicaciones oficiales de Telegram para escritorio (tdesktop) y Telegram Messenger para Windows no ofrecen la capacidad de deshabilitar Llamadas P2P.

Esto significaba que las direcciones IP de estos usuarios se filtrarían cada vez que usaran Telegram para realizar una llamada.

En la siguiente imagen puedes ver un ejemplo de una dirección IP que se filtró en la consola de Telegram Desktop en Ubuntu.

IP Leak llamadas Telegram

Después de que el investigador alertará a Telegram sobre esta configuración faltante en Telegram Desktop y Telegram para Windows, Dhiraj recibió una recompensa de 2.000€ y su informe recibió la identificación CVE-2018-17780.

Este problema actualmente se ha solucionado en las versiones 1.3.17 beta y en la versión 1.4.0 de Telegram Desktop, que han añadido un menú en el apartado de configuración para deshabilitar las llamadas P2P.

Telegram X también afectado por su configuración por defecto

En el informe del investigador no se analizan otros clientes de Telegram Oficiales como Telegram X. Nosotros desde Tecnonucleous nos pusimos a ver las preferencias por defecto de Telegram X y descubrimos que el problema también se encuentra en Telegram X.

Esto se debe a que por defecto viene activada la función peer-to-peer en las llamas para todos los personas como puedes ver la siguiente imagen:

Leak IP en Telegram X

Para protegernos y evitar esta situación debemos hacer los siguiente en la aplicación:

Ir a Ajustes > Privacidad y Seguridad > Llamadas de voz

Una vez ahi nos desplazamos hasta el apartado peer-to-peer y marcamos la opción nunca.

La aplicación de Telegram Normal para Android por defecto tiene marcada la opción "Mis Contactos" para las llamadas P2P asi que la exposición se reduce con respecto a Telegram X.

Read more