Баг в Telegram VoIP, который позволяет узнать адрес собеседника

Итак, всем Привет! После появления VoIP В Telegram (пока в мобильных клиентах), чисто случайно заметил одну неприятную вещь, это открытый дебаг…

Введение


В общем, дело было вечером, делал себе приложение для управления RPI из серии «лень встать и выключить свет» )

Следовательно телефон был подключен по ADB чтобы можно было увидеть 2 несчастные кнопки для различных тестов и в телеграмме позвонил товарищ, при этом телефон был еще в ADB, решил ради интереса посмотреть логи телеграмма.

Далее все интереснее, там была информация о звонке и комментарий примерно такого рода «Нажмите 10 на имя абонента, чтобы увидеть инфу о звонке».

Недолго думая, нажал и увидел интересную статистику:

image

Где [UDP_RELAY]/[UDP_RELAY_IN_USE] — сервера телеграмма, через которые проходит трафик и самое интересное [UDP_P2P_INET] — IP адрес собеседника(если статический — то уже можно и развлекаться)

Бежим в саппорт


Сразу же побежал писать в саппорт и в твиттере, ссылаясь на ленту телеграмма, но ответ пришел весьма удивляющий…

image

Далее немного подумал и решил на следующий день дальше находить плюшки… На клиенте для iOS окно дебага весьма интересно выглядит, так как можно менять настройки разговора.

image

Это все конечно хорошо, но если посмотреть скриншот выше, то можно заметить, что редактирования настроек на яблочном клиенте есть и можно выключить P2P и адрес собеседнику виден не будет.

Ну и последнее, Clear Voice и битрейт до 35 kbit — такое себе )
Share post

Comments 17

    +14

    Как бы весь смысл P2P в том что трафик ходит напрямую между клиентами без третьих сторон.

      –4
      Так то оно так, но в приложении которое позиционирует себя секурным должна быть явная для пользователя настройка этого P2P с указанием что при включении вас могут отследить.
        +3

        Не каждый клиент будет доверять relay-у через который трафик пойдет.

          0
          Выше ведь написали про опцию. И поясните, «прямой» трафик автоматически является безопасным? Как так?
            0
            не автоматически, но для голоса прямой трафик важен, иначе во многих случаях им (голосом) пользоваться просто невозможно
          +1
          приложении которое позиционирует себя секурным
          вам шашечки, или ехать?
          А то, что трафик по вашему должен идти через чьи-то ноды — вас не смущает?
            –1
            вам шашечки, или ехать?

            Мне — возможность управлять инструментом связи.

            То что трафик идет через ноды телеграма меня не смущает, потому что я на это сам соглашаюсь, когда решаю его использовать. А то что мой айпи отдается собеседнику БЕЗ предупреждения и явной возможности это отключить еще как смущает.
              0
              > А то, что трафик по вашему должен идти через чьи-то ноды — вас не смущает?

              А трафик в любом случае пойдет через чьи-то ноды (WiFi-точки доступа в кафе, провайдера, магистрального провайдера и т.п.).
                0
                Да пофиг, он всё же шифрованный.
                  0
                  Так конечно пофиг.

                  Поэтому чего смущаться «чьих-то нод». Основная причина использования P2P — экономия на трафике и производительности серверов и, если повезет, оптимизация задержек в канале.
              +1
              Не путайте безопасность и анонимность. Никто не заявлял об анонимности.
            +2
            Сферический WebRTC в вакууме. Никакой магии
              0
              Тем более, это работает только в случае, если оба собеседника находятся в одной сети.
                0
                Нет, не только
                  –3
                  Если посмотреть на скрин последний — устройство на яблочной ось гуляет в сети с помощью мобильного интернета.
                    +1

                    С мобильным интернетом бояться как раз нечего — там обычно NAT, а то и двойной бывает, т.к. абонентов очень много, а адресов очень мало. Злоумышленник максимум сможет узнать вашего оператора и/или с некоторой вероятностью город, но часто шлюз оператора с WAN IP находится в центре региона. Скажем, у меня определяется город Санкт-Петербург, хотя до него больше тысячи километров.

                  0
                  Сама идея выявления IP-адреса собеседника не нова, такие исследования касаются различных мессенджеров. Я как-то наблюдал такое в Skype ещё 6 лет назад.
                  Другое дело, что конктеретно данная статья может быть прекрасным дополнением к книжке:

                  Only users with full accounts can post comments. Log in, please.