تيليجرام سرب عناوين الإنترنت أثناء المكالمات الصوتية
كشف الباحث الأمني Dhiraj Mishra عن وجود ثغرة أمنية CVE-2018-17780 في إصدار سطح المكتب الرسمي من تطبيق التراسل المشفر تيليجرام لأنظمة التشغيل ويندوز وماكنتوش ولينكس والنسخة المخصصة لتطبيقات ويندوز، وسمحت هذه الثغرة بكشف عناوين برتوكول الإنترنت IP الخاصة والعامة للمستخدمين بشكل افتراضي أثناء المكالمات الصوتية بسبب إطار العمل نظير إلى نظير P2P، كما لم يكن لدى المستخدمين خيار لإيقاف تشغيل الميزة التي قد تجعلهم عرضة للهجمات الإلكترونية.
وتعمل الخدمة على تعزيز نفسها كخدمة تراسل فوري مشفرة تتيح لمستخدميها البالغ عددهم 200 مليون مستخدم نشط شهريًا إجراء دردشات ومكالمات صوتية مشفرة مع مستخدمين آخرين عبر الإنترنت، وتستخدم شركة تيليجرام بشكل افتراضي إطار العمل P2P من أجل إنشاء اتصال مباشر بين المستخدمين أثناء إجراء مكالمات صوتية في سبيل تحسين جودة الصوت، مما يؤدي إلى كشف عناوين IP للمشاركين.
وتوفر تيليجرام خيار “الدردشة السرية” للمستخدمين الذين يريدون تشفير دردشاتهم، كما تقدم الشركة خيارًا يسمى “لا أحد”، والذي يمكن للمستخدمين تفعيله لمنع عرض عناوين IP الخاصة بهم أثناء المكالمات الصوتية، لكن تمكين هذا الخيار يؤدي إلى توجيه مكالمات تيليجرام الصوتية عبر خوادم الشركة، مما يؤدي إلى تقليل جودة الصوت الخاصة بالمكالمة.
ووجد الباحث أن خيار “لا أحد” متاح فقط لمستخدمي الهواتف المحمولة، وليس لنسخة سطح المكتب من التطبيق، مما يكشف عن موقع جميع مستخدمي تطبيق سطح المكتب، وأبلغ Dhiraj Mishra فريق تيليجرام الأمني حول الثغرة، وقامت الشركة بتصحيحها في الإصدارين 1.3.17 و 1.4.0 من التطبيق، وتم منح Mishra مكافأة بقيمة 2000 يورو مقابل الكشف عن هذه المشكلة للشركة.
ويمكن للمستخدمين تفعيل الخيار من خلال التوجه نحو الإعدادات ومن ثم الخصوصية والحماية ومن ثم المكالمات الصوتية ومن ثم تحويل P2P إلى “لا أحد”، مما يسمح بإيقاف مكالمات P2P بشكل كامل أو قصرها على جهات الاتصال الخاصة بالمستخدم، وينتهي بذلك الخطر الذي قد يتعرض له المستخدمين الذين يستخدمون التطبيق من أجل الحفاظ على الخصوصية وإخفاء الهوية مثل الصحفيين والمنشقين السياسيين أو المدافعين عن حقوق الإنسان.
تجدر الإشارة إلى قيام مجموعة قرصنة إيرانية ترعاها الدولة في صيف عام 2016 باستغلال نقطة ضعف في التطبيق للتعرف على أرقام هواتف أكثر من 15 مليون إيراني قاموا بتسجيل حساب على المنصة، وربطوا أسماء مستخدمي تيليجرام بأرقام هواتفهم وشخصياتهم الحقيقية، وقد يكون لتسريب عناوين الإنترنت IP أخطار مشابهة من حيث خرق خصوصية المستخدمين.
