Серьёзную ошибку разработчиков мессенджера Telegram обнаружил исследователь Дхираем Мишра. Он выяснил, что программисты забыли добавить в десктопную версию мессенджера опцию "Nobody", – сообщает Securitylab. В результате десктопные версии для Windows, Mac и Linux мессенджера раскрывали IP-адреса пользователей в процессе голосовых звонков.
Обычно при голосовых звонках Telegram по умолчанию устанавливает прямое P2P-соединение между двумя пользователями. В этом случае обмен пакетами осуществляется непосредственно между абонентами. Пиринговое соединение нельзя считать конфиденциальным, поскольку оно раскрывает IP-адреса участников процесса. То есть, Telegram всегда раскрывает IP-адрес пользователя людям в контактном списке.
Анонимность в мессенджере обеспечивается за счёт механизма маскировки IP-адресов, опции "Nobody", которая запрещает инициировать пиринговое соединение при совершении звонков, но функция присутствует только в мобильной версии мессенджера и не распространяется на десктопную.
Уязвимость получила идентификатор CVE-2018-17780 и уже исправлена с выходом десктопных версий Telegram 1.4.0 и 1.3.17 beta, в которых разработчики добавили опцию "Nobody" в настройки. За информацию об уязвимости компания выплатила специалисту награду в размере $2 тысячи.