當心! 用桌面版Telegram的P2P語音通話可能外洩你的IP

來自印度的資安研究人員Dhiraj Mishra上周六（9/29）指出，強調安全及隱私的Telegram桌面版含有一安全漏洞，將在使用者執行P2P語音通話時外洩用戶IP。

在Telegram桌面版本執行語音通話的預設技術為Peer-to-Peer，不過，Mishra卻發現當以P2P進行語音通話時，可從紀錄中察看對方的公開或私有IP，這對標榜匿名及隱私的Telegram而言是一大諷刺。此一漏洞影響了Telegram for Desktop（tdesktop）與Telegram Messenger for Windows，當中的tdesktop為Telegram的開源版，支援Windows、macOS、Ubuntu、Fedora與Snappy等平台。

這個漏洞很簡單，不過是Telegram在這些版本的P2P通話設定中，只有提供Everybody與My Contacts的選項，而沒有提供Nobody的選項，選擇Nobody即是關閉了P2P功能，讓語音通話的路徑藉由Telegram伺服器傳遞，它可藏匿用戶的IP，只是會稍微犧牲通話品質。

Telegram已在1.3.17 Beta及1.4版中藉由新增Nobody選項修補了該漏洞，此一漏洞的編號為CVE-2018-17780，而Mishra也因此獲得Telegram所頒發的2,000歐元（約71,840元新台幣）的抓漏獎勵。