当心!用桌面版Telegram的P2P语音通话可能外泄你的IP

来自印度的资安研究人员Dhiraj Mishra上周六（9/29）指出，强调安全及隐私的Telegram桌面版含有一安全漏洞，将在使用者执行P2P语音通话时外泄用户IP。

在Telegram桌面版本执行语音通话的预设技术为Peer-to-Peer，不过，Mishra却发现当以P2P进行语音通话时，可从纪录中察看对方的公开或私有IP，这对标榜匿名及隐私的Telegram而言是一大讽刺。此一漏洞影响了Telegram for Desktop（tdesktop）与Telegram Messenger for Windows，当中的tdesktop为Telegram的开源版，支援Windows、macOS、Ubuntu、Fedora与Snappy等平台。

这个漏洞很简单，不过是Telegram在这些版本的P2P通话设定中，只有提供Everybody与My Contacts的选项，而没有提供Nobody的选项，选择Nobody即是关闭了P2P功能，让语音通话的路径借由Telegram服务器传递，它可藏匿用户的IP，只是会稍微牺牲通话品质。

Telegram已在1.3.17 Beta及1.4版中借由新增Nobody选项修补了该漏洞，此一漏洞的编号为CVE-2018-17780，而Mishra也因此获得Telegram所颁发的2,000欧元（约71,840元新台币）的抓漏奖励。